Управление рисками в IT безопасности

Содержание

Слайд 2

IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование

IT безопасность - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
и развитие.

Слайд 3

А зачем оно надо?

Кража интеллектуальной собственности
Информационные атаки
Месть сотрудников
Соответствие
стандартам ISO

А зачем оно надо? Кража интеллектуальной собственности Информационные атаки Месть сотрудников Соответствие стандартам ISO

Слайд 4

Управление информационными рисками - это

системный процесс идентификации, контроля и уменьшения информационных

Управление информационными рисками - это системный процесс идентификации, контроля и уменьшения информационных
рисков компании в соответствии с нормативно-правовой базой в области защиты информации и собственной корпоративной политикой безопасности.

Слайд 5

Тематические понятия

Угроза
Уязвимость ИС
Риск

Тематические понятия Угроза Уязвимость ИС Риск

Слайд 6

Для проектирования системы IT-безопасности в первую очередь необходимо:

Обобщенно описать процессы деятельности
Выделить риски
Определить

Для проектирования системы IT-безопасности в первую очередь необходимо: Обобщенно описать процессы деятельности
порог риска

Слайд 7

Цель:

Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время

Цель: Минимизация внешних и внутренних угроз при учете ограничений на ресурсы и время

Слайд 9

Качественные методики

- методики, разработанные на основе ISO 17799 (международный стандарт в области

Качественные методики - методики, разработанные на основе ISO 17799 (международный стандарт в
ИБ, с 1993г)
Представители:
COBRA by Systems Security Ltd
RA Software Tool. By RA Software

Слайд 10

COBRA by Systems Security Ltd

требования стандарта ISO 17799 в виде тематических вопросников

COBRA by Systems Security Ltd требования стандарта ISO 17799 в виде тематических
(check list’s), на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес­транзакций компании.

Слайд 12

RA Software Tool

Эта методика позволяет выполнять оценку информационных рисков в соответствии с

RA Software Tool Эта методика позволяет выполнять оценку информационных рисков в соответствии с требованиями ISO 17799
требованиями ISO 17799

Слайд 14

Количественные методики

Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть этих

Количественные методики Решение оптимизационных задач, которые часто возникают в реальной жизни. Суть
задач сводится к поиску единственного оптимального решения, из множества существующих.
Представители:
CRAMM by CCTA
ГРИФ by Digital Security Office

Слайд 15

CRAMM ((CCTA Risk Analysis and Management Method)

• Формализация и автоматизация процедур анализа

CRAMM ((CCTA Risk Analysis and Management Method) • Формализация и автоматизация процедур
и управления рисками;
• Оптимизация расходов на средства контроля и защиты;
• Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем;
• Сокращение времени на разработку и сопровождение корпоративной системы защиты информации;
• Обоснование эффективности предлагаемых мер защиты и средств контроля;
• Управление изменениями и инцидентами;
• Поддержка непрерывности бизнеса;
• Оперативное принятие решений по вопросам управления безопасностью

Слайд 16

Этапы управления рисками по CRAMM

«Initiation» — определяются границы исследуемой информационной системы компании

«Identification

Этапы управления рисками по CRAMM «Initiation» — определяются границы исследуемой информационной системы
and Valuation of Assets» — четко идентифицируются активы и определяется их стоимость.

«Threat and Vulnerability Assessment» — идентифицируются и оцениваются угрозы и уязвимости

«Risk Analysis» — позволяет получить качественные и количественные оценки рисков.

«Risk management» — предлагаются меры и средства уменьшения или уклонения от риска.

Слайд 17

Недостатки CRAMM

метод требует специальной подготовки и высокой квалификации аудитора;
аудит по методу

Недостатки CRAMM метод требует специальной подготовки и высокой квалификации аудитора; аудит по
CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;
программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;
CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;
возможность внесения дополнений в базу знаний CRAMM недоступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;
ПО CRAMM не локализовано, существует только на английском языке;
высокая стоимость лицензии - от 2000 до 5000 долл.

Слайд 18

ГРИФ 2005

Дает картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную

ГРИФ 2005 Дает картину защищенности информационных ресурсов в системе и позволяет выбрать
модель защиты корпоративной информации.

Модель информационных
потоков

Модель угроз и уязвимостей

Слайд 19

Модель информационных потоков

1. Пользователь вносит все объекты своей информационной системы: отделы и

Модель информационных потоков 1. Пользователь вносит все объекты своей информационной системы: отделы
ресурсы.
2. Пользователь проставляет связи.
3. Пользователь отвечает на список вопросов по политике безопасности, реализованной в системе.
4. Пользователь доволен.

Слайд 20

Модель угроз и уязвимостей

1. Пользователь вносит в систему объекты своей ИС.
2. Пользователь

Модель угроз и уязвимостей 1. Пользователь вносит в систему объекты своей ИС.
вносит угрозы и уязвимости, относящиеся к его ИС.
3. Пользователь проставляет связи.
4. Пользователь счастлив.

Слайд 21

В результате работы с системой ГРИФ строится подробный отчет об уровне риска

В результате работы с системой ГРИФ строится подробный отчет об уровне риска
каждого ценного ресурса информационной системы компании

Слайд 22

Анализ и управление информационными рисками - ключевой фактор для построения эффективной

Анализ и управление информационными рисками - ключевой фактор для построения эффективной защиты информационной системы.
защиты информационной системы.
Имя файла: Управление-рисками-в-IT-безопасности.pptx
Количество просмотров: 547
Количество скачиваний: 7
- Предыдущая
Правление Ивана Грозного
Следующая -
Что такое проект

Похожие презентации

Спорт квиз. Игра среди студентов ЯМК
Творчество Есенина
Программное обеспечение планирования внеурочной деятельности
Отдел осуществления административных процедур управления делами Слуцкого райисполкома
Бизнес-планирование в деятельности предпринимателей
Кафедра Загальної Фізики
Landing page: создаём эффективные посадочные страницы
1. 7П в проекте (1) (2)
Оценка рисков и специальная оценка условий труда
Определение компетенций
Деловое общение - беседа по телефону
Корпоративное управление в НК ЮКОС Круглый стол по корпоративному управлению в России
Экспериментальная работа «Формирование навыка динамического чтения в начальной школе »
Сессия стратегического планирования
Проблемы управления МУП Гараж
300-летие Дома Романовых. Городской праздник начала XX века
Художники Сенгилеевского района
Портфолио. Нуянзин Максим
SCOTLAND THE BEAUTIFUL
Публичный отчет муниципального казенного общеобразовательного учреждения основной общеобразовательной школы с. Кандрыкуль мун
Оказание первой медицинской помощи при травмах
Чистые сердца
Западная и восточная модели культуры
MixMarket.BIZ
Традиции празднования нового года в России
20141111_chistye_berega_2
f_066630fa0a76b92a
Береги здоровье смолоду
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть