Управление рисками в IT безопасности

Содержание

Слайд 2

IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование

IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
и развитие.

Слайд 3

А зачем оно надо?

Кража интеллектуальной собственности
Информационные атаки
Месть сотрудников
Соответствие
стандартам ISO

А зачем оно надо? Кража интеллектуальной собственности Информационные атаки Месть сотрудников Соответствие стандартам ISO

Слайд 4

Управление информационными рисками - это

системный процесс идентификации, контроля и уменьшения информационных

Управление информационными рисками - это системный процесс идентификации, контроля и уменьшения информационных
рисков компании в соответствии с нормативно-правовой базой в области защиты информации и собственной корпоративной политикой безопасности.

Слайд 5

Тематические понятия

Угроза
Уязвимость ИС
Риск

Тематические понятия Угроза Уязвимость ИС Риск

Слайд 6

Для проектирования системы IT-безопасности в первую очередь необходимо:

Обобщенно описать процессы деятельности
Выделить риски
Определить

Для проектирования системы IT-безопасности в первую очередь необходимо: Обобщенно описать процессы деятельности
порог риска

Слайд 7

Цель:

Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время

Цель: Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время

Слайд 9

Качественные методики

- методики, разработанные на основе ISO 17799 (международный стандарт в области

Качественные методики - методики, разработанные на основе ISO 17799 (международный стандарт в
ИБ, с 1993г)
Представители:
COBRA by Systems Security Ltd
RA Software Tool. By RA Software

Слайд 10

COBRA by Systems Security Ltd

требования стандарта ISO 17799 в виде тематических вопросников

COBRA by Systems Security Ltd требования стандарта ISO 17799 в виде тематических
(check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес­транзакций компании.

Слайд 12

RA Software Tool

Эта методика позволяет выполнять оценку информационных рисков в соответствии с

RA Software Tool Эта методика позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799
требованиями ISO 17799

Слайд 14

Количественные методики

Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть этих

Количественные методики Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть
задач сводится к поиску единственного оптимального решения, из множества существующих.
Представители:
CRAMM by CCTA
ГРИФ by Digital Security Office

Слайд 15

CRAMM ((CCTA Risk Analysis and Management Method)

• Формализация и автоматизация процедур анализа

CRAMM ((CCTA Risk Analysis and Management Method) • Формализация и автоматизация процедур
и управления рисками;
• Оптимизация расходов на средства контроля и защиты;
• Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;
• Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
• Обоснование эффективности предлагаемых мер защиты и средств контроля;
• Управление изменениями и инцидентами;
• Поддержка непрерывности бизнеса;
• Оперативное принятие решений по вопросам управления безопасностью

Слайд 16

Этапы управления рисками по CRAMM

«Initiation» — определяются границы исследуемой информационной системы компании

«Identification

Этапы управления рисками по CRAMM «Initiation» — определяются границы исследуемой информационной системы
and Valuation of Assets» — четко идентифицируются активы и определяется их стоимость.

«Threat and Vulnerability Assessment» — идентифицируются и оцениваются угрозы и уязвимости

«Risk Analysis» — позволяет получить качественные и количественные оценки рисков.

«Risk management» — предлагаются меры и средства уменьшения или уклонения от риска.

Слайд 17

Недостатки CRAMM

метод требует специальной подготовки и высокой квалификации аудитора;
аудит по методу

Недостатки CRAMM метод требует специальной подготовки и высокой квалификации аудитора; аудит по
CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
ПО CRAMM не локализовано, существует только на английском языке;
высокая стоимость лицензии - от 2000 до 5000 долл.

Слайд 18

ГРИФ 2005

Дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную

ГРИФ 2005 Дает картину защищенности информационных ресурсов в системе и позволяет выбрать
модель защиты корпоративной информации.

Модель информационных
потоков

Модель угроз и уязвимостей

Слайд 19

Модель информационных потоков

1. Пользователь вносит все объекты своей информационной системы: отделы и

Модель информационных потоков 1. Пользователь вносит все объекты своей информационной системы: отделы
ресурсы.
2. Пользователь проставляет связи.
3. Пользователь отвечает на список вопросов по политике безопасности, реализованной в системе.
4. Пользователь доволен.

Слайд 20

Модель угроз и уязвимостей

1. Пользователь вносит в систему объекты своей ИС.
2. Пользователь

Модель угроз и уязвимостей 1. Пользователь вносит в систему объекты своей ИС.
вносит угрозы и уязвимости, относящиеся к его ИС.
3. Пользователь проставляет связи.
4. Пользователь счастлив.

Слайд 21

В результате работы с системой ГРИФ строится подробный отчет об уровне риска

В результате работы с системой ГРИФ строится подробный отчет об уровне риска
каждого ценного ресурса информационной системы компании

Слайд 22

Анализ и управление информационными рисками - ключевой фактор для построения эффективной

Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.
защиты информационной системы.
Имя файла: Управление-рисками-в-IT-безопасности.pptx
Количество просмотров: 566
Количество скачиваний: 7
- Предыдущая
Правление Ивана Грозного
Следующая -
Что такое проект

Похожие презентации

Sports in America
Псковская керамика сегодня. Экспонаты выставки мастеров декоративно-прикладного искусства Псковской области
Дыхательная система
Роль системы комплаенс в управлении рисками организации
Практикум «Основы проектной деятельности»
Молекулярные процессы синтеза у растений
Музей Гибли (фотоальбом)
Призер муниципального этапа всероссийской олимпиады школьников по физической культуре Бушковский Никита
ОАО «Российский банк развития»
Отделка набрызгом
Если свет лишен массы, а значит, и веса, то почему он не может преодолеть силы притяжения черной дыры?
День Флага ДНР
Презентация на тему Особенности мозгового кровообращения
Тютчев Фёдор Иванович
Interdependence and the gains from trade
Региональная статистика
Методологический инструментарий инновационных технологий в образовании
Проектирование и реализация нового туристского продукта на территории Уржумского района Кировской области
Прогресс
Что такое проект
Компьютер и его составляющие
Педагогические технологии на основе информационно-коммуникационных средств
Pole dance
Suggestion and Improvements for 2-545-1(20221027)
Правила дорожного движения для детей школьного возраста
Культура Японии (10 класс)
1. ОПП Теория и методика обучения обществознаниюКвалификация - магистр
Презентация на тему Древний Восток
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть