Successfully reported this slideshow.
TECHNOLOGY AND SECURITY
                    RISK SERVICES




Информационная безопасность
через управление рисками
Рассматриваемые вопросы
1. Что входит в задачу оценки и управления рисками
2. Как это соотноситься с системой контроля
3. ...
Процесс оценки рисков
   Анализ             Сценарий
  влияния             влияния




                       Оценка      ...
Определение понятия "риск"
Риск состоит из трех компонентов:

q Угроза – т.е. потенциальная причина нежелательного
инциден...
Индуцированный (вызванный) риск
q В целом действия, которые снижают выявленные риски, сами
порождают новые риски
q Мы може...
Оценка рисков
q При рассмотрении любого риска первым шагом
должно быть понимание его сути – если мы не
понимаем сути риска...
Принятие риска
q Необходимо помнить о разумном балансе между
возможностями и риском
q Организации все время принимают на с...
Передача рисков
q Обычно передача рисков осуществляется с
применением методов страхования или риски
передаются сторонним л...
Управление рисками
q В сфере информационной безопасности мы, как
правило, предпочитаем рисками управлять J
q Управляя риск...
Остаточный риск
q Не важно, каким способом и с помощью чего мы работаем
с каким-то конкретным риском, всегда остается оста...
Рассматриваемые вопросы
1. Что входит в задачу оценки и управления рисками
2. Как это соотноситься с системой контроля
3. ...
Система контроля
q Современные организации подвержены
  воздействию со стороны многих рисков, которые
  хорошо изучены, и ...
Совершенствование системы контроля
q Целью плана мероприятий является
  совершенствование системы контроля. Такая
  систем...
Совершенствование системы контроля
q Оптимизировать процесс обеспечения информационной
  безопасности путем использования ...
Система контроля
                                                        Корпоративная
Стратегический уровень (корпоративн...
Соответствие передовому опыту ISO 17799

q Систематический подход к оценке рисков
q Определение рисков
q Оценка рисков
q О...
Соответствие передовому опыту ISO 17799
            Периодичность

q Ежегодно (как минимум)
q Вслед за значительными измен...
Соответствие передовому опыту ISO 17799
              Взаимосвязь

                         Оценка
                       ...
Рассматриваемые вопросы
1. Что входит в задачу оценки и управления рисками
2. Как это соотноситься с системой контроля
3. ...
Количественная оценка риска - дилемма
q Не существует стандартных методов оценки рисков,
  связанных с информационной безо...
Количественная оценка риска - решение
Оптимальное соотношение между риском и возможностью




                            ...
Управление новыми сценариями развития
                риска
q Новые возможности в сфере бизнеса часто означают
  встречу с...
Предлагаемая техника оценки рисков
q Простой табличный метод оценки рисков можно описать
  в четыре шага:
  ü определение ...
Виды информационных активов

                       Программное
                       обеспечение

   Природоохранные    ...
Предлагаемый метод оценки рисков
Актив   Владелец   Класси   Влияние   Вероятность   Баллы   Угроза   Наличие защиты   Ост...
Пример: Категория "Сотрудники" – Виды

                                 Новые
                               сотрудники

 ...
Категория "Сотрудники" – Общие угрозы
                                  Раскрытие информации/
                            ...
Регистратор рисков – описание основных
                рисков
 №   Описание   Владелец   Баллы   Необходимые   Срок исполн...
План совершенствования системы
              безопасности
№   Описание   Ссылка   Приоритетность   Статус   Владелец   Цел...
Техника оценки рисков – подведение итогов
q Глобальные методы оценки рисков, например CRAMM:
  ü Ставит целью предоставить...
Техника оценки рисков – подведение итогов

                 Политика

   С течением
     времени
   переход от            ...
Рассматриваемые вопросы
1. Что входит в задачу оценки и управления рисками
2. Как это соотноситься с системой контроля
3. ...
Руководство должно занимать более активную
позицию в отношении проблемы управления
рисками
 Внешнее давление со стороны:
 ...
Информационные риски влияют на другие риски
        РЫНОЧНЫЙ РИСК                     ФИНАНСОВЫЙ РИСК                     ...
Вопросы рассматриваемые на семинаре
1. Что входит в задачу оценки и управления рисками
2. Как это соотноситься с системой ...
Для чего нам нужен стандарт ISO
q В мировая глобализация ведет к
  необходимости в согласованном подходе
q В марте 2006г. ...
Каким образом стандарт ISO 27005
встраивается в серию стандартов ISO 2700
q ISO 27000 – Основные положения и определения
 ...
Нормативно-правовое регулирование в
мире – пример Базельского соглашения II
q Мы уже говорили о практических действиях, св...
Финансовые учреждения сталкиваются с
тремя видами риска
Финансовые учреждения подвержены риску трех различных
   видов:
q ...
Базельское соглашение I по капиталу
q Базельское соглашение I по капиталу от 1988 г. ставило своей
  целью контроль кредит...
Базельское соглашение II
и операционный риск
q Базельское соглашение II по капиталу было
  разработано в январе 2001г. и в...
Базельское соглашение II и три столпа, на
которые оно опирается
q Первый столп: минимальные капитальные отчисления,
  кото...
Влияние на информационную безопасность
q Степень влияния необходимости соблюдений положений
  Базельского соглашения II на...
Вопросы?
Спасибо за внимание!
Алексей Шиндин, CISA, CISM
Alexei.Shindin@ru.ey.com
+7 (495) 755-9720
Upcoming SlideShare
Loading in …5
×

Ey

1,260 views

Published on

Published in: Technology, Business
  • Be the first to comment

  • Be the first to like this

Ey

  1. 1. TECHNOLOGY AND SECURITY RISK SERVICES Информационная безопасность через управление рисками
  2. 2. Рассматриваемые вопросы 1. Что входит в задачу оценки и управления рисками 2. Как это соотноситься с системой контроля 3. Типичные техники управления рисками 4. Почему управление информационными рисками является жизненно важной задачей? 5. Необходимость создания стандарта ISO в отношении проблемы управления рисками
  3. 3. Процесс оценки рисков Анализ Сценарий влияния влияния Оценка Регистрация риска риска Трактовка риска Контроль Перенос План ВС Избежание Снижение Принятие
  4. 4. Определение понятия "риск" Риск состоит из трех компонентов: q Угроза – т.е. потенциальная причина нежелательного инцидента, который может привести к нанесению вреда системе или организации (например, мошенничество, кража, вирус, саботаж) q Уязвимость – т.е. слабое звено актива или группы активов, которое может использоваться фактором угрозы (например, компьютерные системы уязвимы для вирусов); q Влияние – прямое (например, финансовый убыток) или косвенное (например, ущерб репутации)
  5. 5. Индуцированный (вызванный) риск q В целом действия, которые снижают выявленные риски, сами порождают новые риски q Мы можем считать этот риск вторичным или, что эквивалентно, индуцированным (вызванным) риском q Оценка рисков подразумевает учет, как первичных, так и индуцированных рисков, например: установка внешнего межсетевого устройства защиты firewall. При этом: § Первичный риск очевиден (проникновение в систему извне) § Появляется риск, связанный с установкой оборудования: например, деградация производительности системы
  6. 6. Оценка рисков q При рассмотрении любого риска первым шагом должно быть понимание его сути – если мы не понимаем сути риска, мы не можем с ним успешно бороться q В общем случае мы имеем дело с двумя видами рисков: § риски, в отношении которых имеется значительный накопленный опыт, т.е. известные риски § новые риски q После того, как суть риска нами понята, мы можем этот риск принять, передать или управлять им
  7. 7. Принятие риска q Необходимо помнить о разумном балансе между возможностями и риском q Организации все время принимают на себя бизнес-риски – успешные организации научились различать разумные риски от неразумных q Ключевым моментом при принятии риска является вопрос обеспечения этого принятия соответствующими людьми, имеющими надлежащие навыки и полномочия, на основе надлежащей информации q Наша работа в качестве менеджеров безопасности заключается в том, чтобы разъяснить суть риска и рекомендовать последовательность действий
  8. 8. Передача рисков q Обычно передача рисков осуществляется с применением методов страхования или риски передаются сторонним лицам q Передача рисков требует тщательного взвешивания всех "за" и "против", но в некоторых случаях эта идея может быть привлекательной (в отношении рисков мошенничества, кражи, утраты имущества и т.п.) q К сожалению, для того, чтобы передать или застраховать риск, необходимо его измерить, а это подчас трудно
  9. 9. Управление рисками q В сфере информационной безопасности мы, как правило, предпочитаем рисками управлять J q Управляя риском, мы совершаем действия, направленные на снижение риска до приемлемого уровня за счет: ü информирования и обучения персонала в отношении рисков и способов обращения с ними; ü процедур и инструментов, используемых для снижения риска; ü заключения договоров, распределяющих обязанности и определяющих ответственность сторон.
  10. 10. Остаточный риск q Не важно, каким способом и с помощью чего мы работаем с каким-то конкретным риском, всегда остается остаточный риск, т.е. риск, оставшийся после того, как были применены все снижающие его средства контроля q При этом совершенно не обязательно, что это будет наиболее низкий уровень риска, однако он должен представлять идеальное равновесие между возможностью и риском q Остаточный риск должен быть санкционирован соответствующим руководителем подразделения компании
  11. 11. Рассматриваемые вопросы 1. Что входит в задачу оценки и управления рисками 2. Как это соотноситься с системой контроля 3. Типичные техники управления рисками 4. Почему управление информационными рисками является жизненно важной задачей? 5. Необходимость создания стандарта ISO в отношении проблемы управления рисками
  12. 12. Система контроля q Современные организации подвержены воздействию со стороны многих рисков, которые хорошо изучены, и имеются средства и методы контроля этих рисков. q В большинстве организаций установлены системы контроля, позволяющие осуществлять управление этими рисками. Эти системы призваны осуществлять контроль, как корпоративных рисков, так и информационных рисков.
  13. 13. Совершенствование системы контроля q Целью плана мероприятий является совершенствование системы контроля. Такая система объединяет в себе политику, стандарты и архитектуру в области безопасности, позволяющие снизит известные риски до "приемлемого" уровня. q Однако следует сказать, что понятие "приемлемый" меняется в зависимости от организации. q Предписанной системы контроля не существует. Многие используют стандарт ISO 17779 в качестве примера.
  14. 14. Совершенствование системы контроля q Оптимизировать процесс обеспечения информационной безопасности путем использования стандартного подхода «сверху – вниз». q Первым шагом на этом пути является разложение всего процесса на составляющие его процедуры и их ранжирование по степени приоритетности. q Это позволяет упростить задачу, так как мы можем заниматься совершенствованием отдельных процедур. q Ключевым элементом с точки зрения достижения успеха является управление зависимостями элементов процесса друг от друга. q После того, как мы изучим текущий процесс, можно приступать к вопросам совершенствования системы контроля. q Составление карты процессов, разработка новых по мере появления новых рисков.
  15. 15. Система контроля Корпоративная Стратегический уровень (корпоративное управление) стратегия Политика Процесс в области Регистр оценки рисков рисков План рисков обеспечения непрерывности деятельности Операционный/тактический уровень (СУИБ) План совершенствования безопасности План обеспечения Процедура оценки Процесс Регистратор бесперебойности рисков оценки рисков деятельности рисков План восстановительных мер в случае аварии Внутренний Управление SoA аудит инцидентами
  16. 16. Соответствие передовому опыту ISO 17799 q Систематический подход к оценке рисков q Определение рисков q Оценка рисков q Определение и оценка вариантов действий по отношению к рискам q Определение целей и средств контроля q Подготовка «Отчета о применимости» (Statement of Applicability)
  17. 17. Соответствие передовому опыту ISO 17799 Периодичность q Ежегодно (как минимум) q Вслед за значительными изменениями в организационной структуре q Вслед за каким-либо инцидентом в сфере безопасности q В результате выявления какой-либо проблемы Службой внутреннего аудита
  18. 18. Соответствие передовому опыту ISO 17799 Взаимосвязь Оценка рисков План по поддержанию СУИБ бесперебойности деятельности
  19. 19. Рассматриваемые вопросы 1. Что входит в задачу оценки и управления рисками 2. Как это соотноситься с системой контроля 3. Типичные техники управления рисками 4. Почему управление информационными рисками является жизненно важной задачей? 5. Необходимость создания стандарта ISO в отношении проблемы управления рисками
  20. 20. Количественная оценка риска - дилемма q Не существует стандартных методов оценки рисков, связанных с информационной безопасностью. В глобальных методах, таких как CRAMM, необходимо проведение в значительных объемах анализа, эффективность которого зачастую ограничена недостатком эмпирических данных. Примечание: при оценке риска необходимо обеспечить лишь тот уровень точности, который обеспечивает поддержку процесса принятия решений q На практике простые методы позволяют достичь разумного компромисса между скоростью и точностью процесса.
  21. 21. Количественная оценка риска - решение Оптимальное соотношение между риском и возможностью В этой области те компании, которые принимают риски. Суммарная доходность инвестиций В этой области те компании, которые не принимают риски. Уровень безопасности (инвестиции в средства контроля безопасности)
  22. 22. Управление новыми сценариями развития риска q Новые возможности в сфере бизнеса часто означают встречу с новыми рисками, в отношении которых действующие средства контроля не работают. q Для того, чтобы отреагировать в рамках отведенного времени, диктуемого возникшей возможностью, нам необходимо уметь быстро анализировать наиболее значительные риски и определять действия, подходящие с точки зрения их снижения. q Техника "простой оценки рисков" применяется в целях выработки тактических решений, позволяющих компании воспользоваться представившейся возможностью в пределах отведенного времени.
  23. 23. Предлагаемая техника оценки рисков q Простой табличный метод оценки рисков можно описать в четыре шага: ü определение сценариев развития угрозы – высокая, средняя или низкая вероятность; ü описание наиболее значительных рисков – общие или конкретные; ü описание средств контроля, снижающих риски, а также остаточного риска; ü описание предлагаемых действий. q Возможность решения тактических задач и обращается за экспертизой и мнением специалистов, т.е. поощряет диалог с руководителями бизнес-подразделений.
  24. 24. Виды информационных активов Программное обеспечение Природоохранные Сотрудники аспекты Виды Физические Электронные информационных активы данные активов Репутация Услуги Данные на компании бумажных носителях
  25. 25. Предлагаемый метод оценки рисков Актив Владелец Класси Влияние Вероятность Баллы Угроза Наличие защиты Остаточный риск Действия фика ция
  26. 26. Пример: Категория "Сотрудники" – Виды Новые сотрудники Действующие сотрудники “Внешний мир” АКТИВЫ Посетители Бывшие сотрудники Подрядчики Временные сотрудники
  27. 27. Категория "Сотрудники" – Общие угрозы Раскрытие информации/ овладение информацией/ Кража Взлом систем уничтожение информации Распространение вирусов Неправомерное использование систем Уходящие сотрудники уносят с собой ключи Нарушение УГРОЗЫ законодательно-нормативных требований Несанкционированный доступ Утрата навыков Несанкционированная инсталляция ПО Дискредитирующие Забастовки Ущерб сообщения по электронной почте
  28. 28. Регистратор рисков – описание основных рисков № Описание Владелец Баллы Необходимые Срок исполнения Статус действия 1 2 3 4 5 6 7 8 9 10
  29. 29. План совершенствования системы безопасности № Описание Ссылка Приоритетность Статус Владелец Целевая Фактическая Номер Замечания дата дата риска
  30. 30. Техника оценки рисков – подведение итогов q Глобальные методы оценки рисков, например CRAMM: ü Ставит целью предоставить глобальный взгляд на риски по всей организации; ü Как правило, требует много времени; ü Как правило, производится путем проведения опросов согласно установленным анкетам. q Простой метод оценки рисков: ü Применяется в очень специфических областях или направлениях деятельности; ü Требует большого опыта и знаний; ü Использует простые, но эффективные методы.
  31. 31. Техника оценки рисков – подведение итогов Политика С течением времени переход от Система контроля структуры с учетом •Стандарты политики к структуре с •Инструкции учетом Доводит до •Средства технического контроля риска совершенства Оценка Глобальный метод оценки рисков рисков Простой метод оценки рисков Определяет Тактические решения
  32. 32. Рассматриваемые вопросы 1. Что входит в задачу оценки и управления рисками 2. Как это соотноситься с системой контроля 3. Типичные техники управления рисками 4. Почему управление информационными рисками является жизненно важной задачей? 5. Необходимость создания стандарта ISO в отношении проблемы управления рисками
  33. 33. Руководство должно занимать более активную позицию в отношении проблемы управления рисками Внешнее давление со стороны: Высшее руководство •Регулирующих органов •Акционеров •Деловых партнеров •Клиентов ПРОЦЕССЫ УПРАВЛЕНИЯ РИСКАМИ Кредитный Политичес- Рыночный Информац Риск риск кий риск риск ионный безопаснос риск ти
  34. 34. Информационные риски влияют на другие риски РЫНОЧНЫЙ РИСК ФИНАНСОВЫЙ РИСК ОПЕРАЦИОННЫЙ РИСК (факторы, неподконтрольные (например, неопределенность в (например, информационный риск, руководству компании, например, отношении прогнозируемых риск кражи, мошенничества, процентные ставки и курсы валют) доходов и расходов) утраты активов или сотрудников) Информационный риск Роль информационного риска интенсифицирует все бизнес- ИНФОРМАЦИОННЫЙ как компонента операционного риски, поскольку для управления РИСК риска постоянно возрастает ими необходима информация •Позиции по займам и инвестициям •Прогнозы продаж •Отчеты о статусе •Прогнозные величины процентной •Прогноз расходов информационного риска ставки •Фактические данные по продажам •Определение ключевых активов •Прогнозируемые финансовые и расходам (оборудование, производственные потоки •Данные по основным мощности, работники) •Внешние изменения расхождениям •Статус договоренностей о непрерывности деятельности Для того, чтобы управлять рисками, нужна информация
  35. 35. Вопросы рассматриваемые на семинаре 1. Что входит в задачу оценки и управления рисками 2. Как это соотноситься с системой контроля 3. Типичные техники управления рисками 4. Почему управление информационными рисками является жизненно важной задачей? 5. Необходимость создания стандарта ISO в отношении проблемы управления рисками
  36. 36. Для чего нам нужен стандарт ISO q В мировая глобализация ведет к необходимости в согласованном подходе q В марте 2006г. в Великобритании была опубликована новая Часть 3 Стандарта BS7799, которая посвящена вопросам управления рисками ИБ. q Кроме того, будет включен стандарт ISO/IEC 13335 MICTS, Часть 2
  37. 37. Каким образом стандарт ISO 27005 встраивается в серию стандартов ISO 2700 q ISO 27000 – Основные положения и определения (разрабатывается) q ISO 27001 – Требования Системы Управления Информационной Безопасностью ISMS (BS7799 – Часть 2) q ISO 27002 – (ISO/IEC 17799:2005) с апреля 2007 г. q ISO 27003 – Руководство по внедрению ISMS (разрабатывается) q ISO 27004 – Параметры и показатели оценки ISMS (разрабатывается) q ISO 27005 – Управление рисками в ISMS (разрабатывается) q ISO 27006 – Руководство по аккредитации в ISMS органов сертификации и регистрации
  38. 38. Нормативно-правовое регулирование в мире – пример Базельского соглашения II q Мы уже говорили о практических действиях, связанных с контролем рисков, имеющих отношение к информационной безопасности q Для того, чтобы лучше контролировать этот риск, важно понимать как он вписывается в более общую картину управления организационными рисками q Стандарт ISO 27005 поможет всем организациям применять нормативно-правовые требования q Например, в настоящее время финансовые организации работают в соответствии с Базельским соглашением II
  39. 39. Финансовые учреждения сталкиваются с тремя видами риска Финансовые учреждения подвержены риску трех различных видов: q Кредитный риск – риск того, что контрагент не выполнит своих обязательств q Рыночный риск – риск, обычный для класса/активов/ пассивов, обусловленный влиянием рынка q Операционный риск – риск возможных убытков, возникающих вследствие неадекватности или неудовлетворительного состояния процессов, персонала и систем, либо вследствие внешних событий (определение Базель II) – риск, связанный с безопасностью
  40. 40. Базельское соглашение I по капиталу q Базельское соглашение I по капиталу от 1988 г. ставило своей целью контроль кредитных рисков q Базельское соглашение I требует от банков создания резервов капитала, необходимых на покрытие рисков q Опыт показал, что классификация видов рисков, определяющих требования по капиталу в соответствии с Базельским соглашением I, имеет слишком широкий спектр q Фактически, банки по-прежнему имели возможность принимать на себя значительные риски без необходимости страховать себя за счет резервного капитала q Для исправления этой ситуации было выработано Базельское соглашение II
  41. 41. Базельское соглашение II и операционный риск q Базельское соглашение II по капиталу было разработано в январе 2001г. и вступило в силу в январе 2007г. q Это соглашение является обязательным для выполнения всеми банками стран, входящих в Базельский комитет по банковскому надзору, а именно: Бельгия, Канада, Франция, Германия, Италия, Япония, Люксембург, Нидерланды, Испания, Швеция, Швейцария, Великобритания и США q Ожидается, что Базельское соглашение II радикально изменит поведение банков
  42. 42. Базельское соглашение II и три столпа, на которые оно опирается q Первый столп: минимальные капитальные отчисления, которые предназначены для того, чтобы снизить риски за счет формирования "подушки" под возможные убытки. Эти отчисления рассчитываются с учетом кредитного, рыночного и операционного риска q Второй столп: проверки со стороны надзирающих органов, обладающих, в том числе, полномочиями по увеличению требований к размеру капитала, рассчитанного в соответствии с методикой, указанной выше q Третий столп: рыночная дисциплина, выражающаяся в новых требованиях к публичному разглашению информации, что позволит банкам лучше управлять рисками
  43. 43. Влияние на информационную безопасность q Степень влияния необходимости соблюдений положений Базельского соглашения II на процесс обеспечения информационной безопасности будет зависеть от моделей, согласно которым рассчитываются отчисления q Однако в целях минимизации своих требований к достаточности капитала, средние и крупные банки, вероятнее всего, будут применять какую-либо из моделей AMA q Чем больше анализа представлено в модели, тем больше возникает необходимость в ее детализации q Мы постепенно переходим на количественные показатели оценки рисков, что потребует данных об истории событий и статистических данных
  44. 44. Вопросы? Спасибо за внимание! Алексей Шиндин, CISA, CISM Alexei.Shindin@ru.ey.com +7 (495) 755-9720

×