SlideShare a Scribd company logo

Курс: Оценка и управление рисками информационной безопасности в организации

Download as PPTX, PDF
В
Вячеслав Аксёнов

Краткий обзор курса: Оценка и управление рисками информационной безопасности в организации

Education
1 of 19
ОЦЕНКА И УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ Вячеслав Аксёнов 26-27.12.2017
ОЦЕНКА И УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ (ISRM) 1. Управление рисками информационной безопасности.  Менеджмент рисков в организации.  Оценка рисков информационной безопасности в системах менеджмента.  Оценка и управление IT-рисками в банке.  Управление IT-рисками в процедурах внутреннего контроля и аудита информационных систем.  Методики оценки рисков информационной безопасности.  Оценка рисков информационной безопасности при использовании технологий «облачных вычислений». 2. Практикум проведения оценки рисков информационной безопасности.
 Дать базовое понимание по управления рисками в организации  Описать существующие подходы по анализу и оценке ИТ и ИБ рисков  Разъяснить практические аспекты проведения оценки рисков информационной безопасности с учетом требований различных стандартов  С фокусом на запросы аудитории ЦЕЛЬ ТРЕНИНГА
будете знать и применять на практике  Цели и задачи управления рисками  Методы оценки риска  Практические аспекты внедрение процесса управления рисками информационной безопасности  ТНПА в области оценки риска КЛЮЧЕВЫЕ ОБЛАСТИ ЗНАНИЙ Подход к управлению и оценке рисков, применимый в ЛЮБОЙ области. Реализация ТНПА РБ в области оценки и управления рисками информационной безопасности.
Модуль 1. МЕНЕДЖМЕНТ РИСКОВ В ОРГАНИЗАЦИИ  Введение в риск-менеджмент  Организация системы риск-менеджмента  Цели и задачи управления рисками в соответствии с ISO 31000:2009.  Анализ и оценка рисков.  Управление риском.  Методы оценки риска в соответствии с ISO/IEC 31010:2009.
ВВЕДЕНИЕ В РИСК-МЕНЕДЖМЕНТ  Категория «РИСК»  Терминология риск-менеджмента  Виды и классификация рисков  Факторы и причины риска  Область, принципы, процесс ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения». ISO Guide 73
ISO/IEC 31010:2009 «RISK MANAGEMENT - RISK ASSESSMENT TECHNIQUES» Менеджмент рисков. Методики оценки риска.  Область применения  Концепции оценки риска  Процесс оценки риска  Выбор методик оценки риска  Методики оценки риска
Модуль 2. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ МЕНЕДЖМЕНТА  Системы менеджмента информационной безопасности (ISO/IEC 27001:2013).  Системы управления услугами (ISO/IEC 20000-1:2011).
9/91 Структура стандарта СТБ ISO/IEC 27001-2016 СИСТЕМА МЕНЕДЖМЕНТА ИБ 4. Контекст организации 5. Лидерство 6. Планирование 7. Поддержка 8. Операционная деятельность 9. Оценивание пригодности 10. Улучшение Приложение А – Перечень целей управления и средств управления (меры ЗИ) Оценка и обработка риска PLAN DO CHECK ACT Оценка и обработка риска
СИСТЕМЫ УПРАВЛЕНИЯ УСЛУГАМИ (ISO/IEC 20000-1:2011)
11/91 ISO/IEC 20000-1:2011 СИСТЕМА УПРАВЛЕНИЯ УСЛУГАМИ 6 Процессы предоставления услуг … 6.6 Управление информационной безопасностью
Модуль 3. ОЦЕНКА И УПРАВЛЕНИЕ IT-РИСКАМИ В БАНКЕ.  Система управления рисками в сфере банковских информационных технологий (ТКП 288-2010).  Управление IT-рисками в процедурах внутреннего контроля и аудита информационных систем банков (ТКП 287-2010).  Оценка рисков нарушения информационной безопасности (СТБ 34.101.41-2013).
Модуль 4. МЕТОДИКИ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISO/IEC 27005 СТБ 34.101.70 СТБ 34.101.61  Оценка рисков нарушения информационной безопасности банков в соответствии с СТБ 34.101.61-2013.  Управление рисками информационной безопасности в соответствии с ISO/IEC 27005:2011.  Оценка рисков информационной безопасности в информационных системах в соответствии с СТБ 34.101.70-2016.
Шаблоны и формы документации по управлению риском
Модуль 4. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ТЕХНОЛОГИЙ «ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ»  Оценка рисков информационной безопасности при использовании технологий «облачных вычислений»
ITU-T X.1601 Неопределённость ответственности - отсутствие чёткого разделения ответственности в части обеспечения БИ между потребителем и поставщиком облачных услуг, что является причиной невыполнения некоторых мер по защите информации. Меры - Договор, SLA, NDA. УГРОЗЫ БЕЗОПАСНОСТИ 16/x
ПОДХОД К ОБЕСПЕЧЕНИЮ ИБ 17/28 Угрозы •Определить угрозы безопасности и последствия проблем для безопасности в рассматриваемой услуге облачных вычислений. •(п.7,8 X.1601) Возможности •Определить необходимые высокоуровневые возможности обеспечения безопасности на основе выявленных угроз и проблем, которые могут уменьшить угрозы безопасности и решить проблемы безопасности. •(п.9 X.1601) Меры •Выбрать средства управления, политику и процедуры безопасности, которые могут предоставить необходимые способности обеспечения безопасности исходя из определенных возможностей обеспечения безопасности.
ПРАКТИКУМ ПРОВЕДЕНИЯ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ  Модель нарушителя.  Угрозы безопасности информационных технологий.  Анализ рисков.  Управление рисками.
ОЦЕНКА РИСКА ИБ Методика 1. Идентификация и оценка ценности первичных информационных активов 2. Идентификация и оценка ценности вторичных информационных активов. 3. Идентификация угроз информационной безопасности и их описание 4. Идентификация защитных мер 5. Идентификация уязвимостей 6. Описание сценариев угроз информационной безопасности 7. Проведение анализа и оценивания рисков информационной безопасности 8. Обработка рисков информационной безопасности 12 практических заданий

Recommended

Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Вячеслав Аксёнов
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 

Recommended

Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Курс: Аудит информационной безопасности (Information Security Audit Course)
Курс: Аудит информационной безопасности (Information Security Audit Course)Вячеслав Аксёнов
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностьюВячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Вячеслав Аксёнов
 
Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Cloud security risk management (fragment of course materials)
Cloud security risk management (fragment of course materials)Вячеслав Аксёнов
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииВячеслав Аксёнов
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Вячеслав Аксёнов
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementationВячеслав Аксёнов
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Учебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПУчебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПКомпания УЦСБ
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
тб Сертификаты по ИБ
тб Сертификаты по ИБтб Сертификаты по ИБ
тб Сертификаты по ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Expolink
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
международные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностьюмеждународные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностьюAlexander Dorofeev
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxghdffds
 

More Related Content

What's hot

Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Учебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПУчебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПКомпания УЦСБ
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Expolink
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (20)

ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Учебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТПУчебные курсы по безопасности АСУ ТП
Учебные курсы по безопасности АСУ ТП
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
тб Сертификаты по ИБ
тб Сертификаты по ИБтб Сертификаты по ИБ
тб Сертификаты по ИБ
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
 
пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности пр Принцип 80 на 20 для обеспечения кибербезопасности
пр Принцип 80 на 20 для обеспечения кибербезопасности
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 

Similar to Курс: Оценка и управление рисками информационной безопасности в организации

международные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностьюмеждународные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностьюAlexander Dorofeev
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxghdffds
 
Risk Management System (RiskMS)
Risk Management System (RiskMS)Risk Management System (RiskMS)
Risk Management System (RiskMS)LtD "UGIS group"
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Учебный центр "Эшелон"
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Glib Pakharenko
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Managerismsys
 
Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Positive Hack Days
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиNick Turunov
 
Стратегическое управление ИТ
Стратегическое управление ИТСтратегическое управление ИТ
Стратегическое управление ИТCleverics
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиКРОК
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьDatamodel
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdftrenders
 

Similar to Курс: Оценка и управление рисками информационной безопасности в организации (20)

международные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностьюмеждународные стандарты по управлению информационной безопасностью
международные стандарты по управлению информационной безопасностью
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
 
Risk Management System (RiskMS)
Risk Management System (RiskMS)Risk Management System (RiskMS)
Risk Management System (RiskMS)
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Презентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk ManagerПрезентация вебинара ISM Revision:Risk Manager
Презентация вебинара ISM Revision:Risk Manager
 
Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Threat intelligence в процессах SOC
Threat intelligence в процессах SOC
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 
Стратегическое управление ИТ
Стратегическое управление ИТСтратегическое управление ИТ
Стратегическое управление ИТ
 
Aksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdfAksionov_CyberSecurity Training Courses_2023.pdf
Aksionov_CyberSecurity Training Courses_2023.pdf
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
презентация по услугам
презентация по услугампрезентация по услугам
презентация по услугам
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdf
 

More from Вячеслав Аксёнов

Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Вячеслав Аксёнов
 
CIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияCIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияВячеслав Аксёнов
 
Построение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияПостроение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияВячеслав Аксёнов
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)Вячеслав Аксёнов
 

More from Вячеслав Аксёнов (14)

Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Аксёнов_Оценка и управление рисками информационной безопасности в организации...
Аксёнов_Оценка и управление рисками информационной безопасности в организации...
 
CIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизацияCIS Critical Security Controls аудит, внедрение, автоматизация
CIS Critical Security Controls аудит, внедрение, автоматизация
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
Information security risk management presentation
Information security risk management presentationInformation security risk management presentation
Information security risk management presentation
 
Information Security Audit (Course)
Information Security Audit (Course)Information Security Audit (Course)
Information Security Audit (Course)
 
Построение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятияПостроение архитектуры безопасности предприятия
Построение архитектуры безопасности предприятия
 
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)Personal Data Protection Presentation (B.E.E.R - Winter 2021)
Personal Data Protection Presentation (B.E.E.R - Winter 2021)
 
Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)Техническая защита персональных данных в Беларуси (Версия 2)
Техническая защита персональных данных в Беларуси (Версия 2)
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirements
 
G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)G-Clouds Architecture and Security (fragment of course materials)
G-Clouds Architecture and Security (fragment of course materials)
 

Курс: Оценка и управление рисками информационной безопасности в организации

  • 1. ОЦЕНКА И УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ Вячеслав Аксёнов 26-27.12.2017
  • 2. ОЦЕНКА И УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ (ISRM) 1. Управление рисками информационной безопасности.  Менеджмент рисков в организации.  Оценка рисков информационной безопасности в системах менеджмента.  Оценка и управление IT-рисками в банке.  Управление IT-рисками в процедурах внутреннего контроля и аудита информационных систем.  Методики оценки рисков информационной безопасности.  Оценка рисков информационной безопасности при использовании технологий «облачных вычислений». 2. Практикум проведения оценки рисков информационной безопасности.
  • 3.  Дать базовое понимание по управления рисками в организации  Описать существующие подходы по анализу и оценке ИТ и ИБ рисков  Разъяснить практические аспекты проведения оценки рисков информационной безопасности с учетом требований различных стандартов  С фокусом на запросы аудитории ЦЕЛЬ ТРЕНИНГА
  • 4. будете знать и применять на практике  Цели и задачи управления рисками  Методы оценки риска  Практические аспекты внедрение процесса управления рисками информационной безопасности  ТНПА в области оценки риска КЛЮЧЕВЫЕ ОБЛАСТИ ЗНАНИЙ Подход к управлению и оценке рисков, применимый в ЛЮБОЙ области. Реализация ТНПА РБ в области оценки и управления рисками информационной безопасности.
  • 5. Модуль 1. МЕНЕДЖМЕНТ РИСКОВ В ОРГАНИЗАЦИИ  Введение в риск-менеджмент  Организация системы риск-менеджмента  Цели и задачи управления рисками в соответствии с ISO 31000:2009.  Анализ и оценка рисков.  Управление риском.  Методы оценки риска в соответствии с ISO/IEC 31010:2009.
  • 6. ВВЕДЕНИЕ В РИСК-МЕНЕДЖМЕНТ  Категория «РИСК»  Терминология риск-менеджмента  Виды и классификация рисков  Факторы и причины риска  Область, принципы, процесс ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения». ISO Guide 73
  • 7. ISO/IEC 31010:2009 «RISK MANAGEMENT - RISK ASSESSMENT TECHNIQUES» Менеджмент рисков. Методики оценки риска.  Область применения  Концепции оценки риска  Процесс оценки риска  Выбор методик оценки риска  Методики оценки риска
  • 8. Модуль 2. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ МЕНЕДЖМЕНТА  Системы менеджмента информационной безопасности (ISO/IEC 27001:2013).  Системы управления услугами (ISO/IEC 20000-1:2011).
  • 9. 9/91 Структура стандарта СТБ ISO/IEC 27001-2016 СИСТЕМА МЕНЕДЖМЕНТА ИБ 4. Контекст организации 5. Лидерство 6. Планирование 7. Поддержка 8. Операционная деятельность 9. Оценивание пригодности 10. Улучшение Приложение А – Перечень целей управления и средств управления (меры ЗИ) Оценка и обработка риска PLAN DO CHECK ACT Оценка и обработка риска
  • 11. 11/91 ISO/IEC 20000-1:2011 СИСТЕМА УПРАВЛЕНИЯ УСЛУГАМИ 6 Процессы предоставления услуг … 6.6 Управление информационной безопасностью
  • 12. Модуль 3. ОЦЕНКА И УПРАВЛЕНИЕ IT-РИСКАМИ В БАНКЕ.  Система управления рисками в сфере банковских информационных технологий (ТКП 288-2010).  Управление IT-рисками в процедурах внутреннего контроля и аудита информационных систем банков (ТКП 287-2010).  Оценка рисков нарушения информационной безопасности (СТБ 34.101.41-2013).
  • 13. Модуль 4. МЕТОДИКИ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISO/IEC 27005 СТБ 34.101.70 СТБ 34.101.61  Оценка рисков нарушения информационной безопасности банков в соответствии с СТБ 34.101.61-2013.  Управление рисками информационной безопасности в соответствии с ISO/IEC 27005:2011.  Оценка рисков информационной безопасности в информационных системах в соответствии с СТБ 34.101.70-2016.
  • 14. Шаблоны и формы документации по управлению риском
  • 15. Модуль 4. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ТЕХНОЛОГИЙ «ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ»  Оценка рисков информационной безопасности при использовании технологий «облачных вычислений»
  • 16. ITU-T X.1601 Неопределённость ответственности - отсутствие чёткого разделения ответственности в части обеспечения БИ между потребителем и поставщиком облачных услуг, что является причиной невыполнения некоторых мер по защите информации. Меры - Договор, SLA, NDA. УГРОЗЫ БЕЗОПАСНОСТИ 16/x
  • 17. ПОДХОД К ОБЕСПЕЧЕНИЮ ИБ 17/28 Угрозы •Определить угрозы безопасности и последствия проблем для безопасности в рассматриваемой услуге облачных вычислений. •(п.7,8 X.1601) Возможности •Определить необходимые высокоуровневые возможности обеспечения безопасности на основе выявленных угроз и проблем, которые могут уменьшить угрозы безопасности и решить проблемы безопасности. •(п.9 X.1601) Меры •Выбрать средства управления, политику и процедуры безопасности, которые могут предоставить необходимые способности обеспечения безопасности исходя из определенных возможностей обеспечения безопасности.
  • 18. ПРАКТИКУМ ПРОВЕДЕНИЯ ОЦЕНКИ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ  Модель нарушителя.  Угрозы безопасности информационных технологий.  Анализ рисков.  Управление рисками.
  • 19. ОЦЕНКА РИСКА ИБ Методика 1. Идентификация и оценка ценности первичных информационных активов 2. Идентификация и оценка ценности вторичных информационных активов. 3. Идентификация угроз информационной безопасности и их описание 4. Идентификация защитных мер 5. Идентификация уязвимостей 6. Описание сценариев угроз информационной безопасности 7. Проведение анализа и оценивания рисков информационной безопасности 8. Обработка рисков информационной безопасности 12 практических заданий