Your SlideShare is downloading. ×
Kpmg
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Kpmg

1,194
views

Published on

Published in: Business, Economy & Finance

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,194
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
37
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. INFORMATION RISK MANAGEMENT Подходы к оценке рисков при аудите ИТ и ИБ ADVISORY Андрей Дроздов, CISM, CISA RISSPA семинар Москва, 25 июля 2007
  • 2. Краткое содержание презентации • Что такое риск? Виды рисков • Риски основной деятельности (BASEL II) • Ранжирование процессов CobiT по степени рисков • Аудиторские риски • Процесс PO 9 – Оценка рисков • Пример методологии оценки рисков для ISO 1779/BS 7799– BSI PD 3002 2
  • 3. Что такое риск? Виды рисков Риск – степень последствий для основной деятельности в случае реализации угроз с учетом их вероятности и уязвимостей 3
  • 4. Риски основной деятельности (BASEL II) Кредитные Рыночные Операционные Ликвидности Страновые Потери деловой репутации Стратегический 4
  • 5. ИТ Риски Связаны с рисками основной деятельности, в первую очередь операционными рисками Имеют специфику, связанную с ИТ и ИБ 5
  • 6. Ранжирование процессов CobIT по степени рисков 6
  • 7. Аудиторские риски Риск не определения неэффективных мер контролях, и как следствие, риск выдачи некорректного заключения. Необходимо тщательное планирование аудита для снижения данного риска, а также наличие квалифицированных аудиторов Методология (Руководство по аудиту) - Документирование мер контроля, -Тестирование дизайна мер контроля -Тестирование эффективности мер контроля -Требования к качеству свидетельств аудита - Профессиональный скептицизм 7
  • 8. Процесс PO 9 CobiT: Оценка рисков Цели контроля: - Связь межу оценкой рисков деятельности и ИТ рисков - Определение методологии оценки рисков - Идентификация угроз и слабых звеньев - Оценка рисков - Реагирование на риски - Ведение и мониторинг плана действий по рискам 8
  • 9. Пример методологии оценки рисков для ISO 1779/BS 7799 – BSI 3002 Процесс оценки рисков • Идентификация и оценка активов; • Идентификация всех требований ИБ, в частности угроз и уязвимостей, требований бизнеса и законодательства; • Оценка вероятности реализации угроз с учетом уязвимостей и значимости требований бизнеса и законодательства • Вычисление значения рисков; • Выбор подходящего варианта реагирования на риски; • Выбор мер контроля для снижения рисков до приемлемого уровня. 9
  • 10. Виды активов Информационные активы : базы данных и файлы, системная документация, руководства для пользователей, операционные процедуры, планы восстановления после сбоев; • Бумажные документы: контракты, руководства, корпоративная документация; • Программное обеспечения: прикладное и системное ПО, средства разработки и утилиты; Физические активы: компьютеры и оборудование, магнитные носители данных, серверные помещения; • Люди: персонал, клиенты; • Деловая репутация; • Сервисы: услуги по обслуживанию ИТ, телекоммуникации, электропитание и т.п. 10
  • 11. Примеры угроз • Пожар • Землетрясение • Сбой оборудования • Неавторизованный доступ к системам • Ошибки пользователя • Кража 11
  • 12. Примеры уязвимостей • Недостаточна осведомленность пользователей в области ИБ • Плохое качество документации • Слабая физическая защита серверных помещений • Отсутствие журналов аудита • Слабая политика в области парольной защиты • Возможность бесконтрольной загрузки и использования ПО 12
  • 13. Вычисление значения рисков Степень угрозы Низкая Средняя Высокая Степень уязвимости L M H L M H L M H 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 Ценность 2 2 3 4 3 4 5 4 5 6 актива 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 13
  • 14. Выбор подходящего варианта реагирования на риски . •Внедрение мер контроля для минимизации рисков; • Осознание и принятие рисков; • Избежание рисков; • Передача рисков третьим сторонам 14
  • 15. Выбор мер контроля для снижения риска до приемлемого уровня • Выбор мер контроля из ISO 17799, CobIT; • Выбор дополнительных мер контроля, специфичных для организации/отрасли/страны; • Утверждение ведомости применимости (для ISO 27001) 15
  • 16. Новейшие методики оценки рисков • ISO 27005 (Проект) 16
  • 17. Контактная информация Андрей Дроздов +7 (095) 937 4477 ADrozdov@kpmg.ru www.kpmg.com Информация, содержащаяся в настоящей презентации, носит общий характер и подготовлена без учета конкретных обстоятельств того или иного лица или организации. Хотя мы неизменно стремимся представлять своевременную и точную информацию, мы не можем гарантировать того, что данная информация окажется столь же точной на момент получения или будет оставаться столь же точной в будущем. Предпринимать какие-либо действия на основании такой информации можно только после консультаций с соответствующими специалистами и подробного анализа конкретной ситуации. © 2005 KPMG LLP, the UK member firm of KPMG International, a Swiss cooperative. All rights reserved. The KPMG logo and name are trademarks of KPMG International. © 2005 КПМГ Лимитед, член ассоциации KPMG International, зарегистрированной по законодательству Швейцарии. Все права защищены. Напечатано в России.

×