INFORMATION RISK MANAGEMENT




Подходы к оценке рисков при
аудите ИТ и ИБ

ADVISORY




                              Анд...
Краткое содержание презентации

• Что такое риск? Виды рисков
• Риски основной деятельности (BASEL II)
• Ранжирование проц...
Что такое риск? Виды рисков

Риск – степень последствий для основной
деятельности в случае реализации угроз с учетом их
ве...
Риски основной деятельности (BASEL II)

Кредитные
Рыночные
Операционные
Ликвидности
Страновые
Потери деловой репутации
Стр...
ИТ Риски

Связаны с рисками основной деятельности, в первую
очередь операционными рисками
Имеют специфику, связанную с ИТ ...
Ранжирование процессов CobIT по степени
рисков




                                          6
Аудиторские риски

Риск не определения неэффективных мер контролях,
и как следствие, риск выдачи некорректного
заключения....
Процесс PO 9 CobiT: Оценка рисков



Цели контроля:

   - Связь межу оценкой рисков деятельности и ИТ рисков
   - Определе...
Пример методологии оценки рисков для ISO
1779/BS 7799 – BSI 3002


Процесс оценки рисков


• Идентификация и оценка активо...
Виды активов


 Информационные активы : базы данных и файлы, системная
документация, руководства для пользователей, операц...
Примеры угроз


• Пожар
• Землетрясение
• Сбой оборудования
• Неавторизованный доступ к системам
• Ошибки пользователя
• К...
Примеры уязвимостей


• Недостаточна осведомленность пользователей в
  области ИБ
• Плохое качество документации
• Слабая ...
Вычисление значения рисков


           Степень угрозы   Низкая      Средняя     Высокая
             Степень
            ...
Выбор подходящего варианта реагирования на риски


.
    •Внедрение мер контроля для минимизации рисков;
    • Осознание и...
Выбор мер контроля для снижения риска до приемлемого
уровня



 • Выбор мер контроля из ISO 17799, CobIT;
 • Выбор дополни...
Новейшие методики оценки рисков




 • ISO 27005 (Проект)




                                  16
Контактная информация
                                            Андрей Дроздов
                                         ...
Upcoming SlideShare
Loading in …5
×

Kpmg

1,516 views

Published on

Published in: Business, Economy & Finance
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,516
On SlideShare
0
From Embeds
0
Number of Embeds
272
Actions
Shares
0
Downloads
43
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Kpmg

  1. 1. INFORMATION RISK MANAGEMENT Подходы к оценке рисков при аудите ИТ и ИБ ADVISORY Андрей Дроздов, CISM, CISA RISSPA семинар Москва, 25 июля 2007
  2. 2. Краткое содержание презентации • Что такое риск? Виды рисков • Риски основной деятельности (BASEL II) • Ранжирование процессов CobiT по степени рисков • Аудиторские риски • Процесс PO 9 – Оценка рисков • Пример методологии оценки рисков для ISO 1779/BS 7799– BSI PD 3002 2
  3. 3. Что такое риск? Виды рисков Риск – степень последствий для основной деятельности в случае реализации угроз с учетом их вероятности и уязвимостей 3
  4. 4. Риски основной деятельности (BASEL II) Кредитные Рыночные Операционные Ликвидности Страновые Потери деловой репутации Стратегический 4
  5. 5. ИТ Риски Связаны с рисками основной деятельности, в первую очередь операционными рисками Имеют специфику, связанную с ИТ и ИБ 5
  6. 6. Ранжирование процессов CobIT по степени рисков 6
  7. 7. Аудиторские риски Риск не определения неэффективных мер контролях, и как следствие, риск выдачи некорректного заключения. Необходимо тщательное планирование аудита для снижения данного риска, а также наличие квалифицированных аудиторов Методология (Руководство по аудиту) - Документирование мер контроля, -Тестирование дизайна мер контроля -Тестирование эффективности мер контроля -Требования к качеству свидетельств аудита - Профессиональный скептицизм 7
  8. 8. Процесс PO 9 CobiT: Оценка рисков Цели контроля: - Связь межу оценкой рисков деятельности и ИТ рисков - Определение методологии оценки рисков - Идентификация угроз и слабых звеньев - Оценка рисков - Реагирование на риски - Ведение и мониторинг плана действий по рискам 8
  9. 9. Пример методологии оценки рисков для ISO 1779/BS 7799 – BSI 3002 Процесс оценки рисков • Идентификация и оценка активов; • Идентификация всех требований ИБ, в частности угроз и уязвимостей, требований бизнеса и законодательства; • Оценка вероятности реализации угроз с учетом уязвимостей и значимости требований бизнеса и законодательства • Вычисление значения рисков; • Выбор подходящего варианта реагирования на риски; • Выбор мер контроля для снижения рисков до приемлемого уровня. 9
  10. 10. Виды активов Информационные активы : базы данных и файлы, системная документация, руководства для пользователей, операционные процедуры, планы восстановления после сбоев; • Бумажные документы: контракты, руководства, корпоративная документация; • Программное обеспечения: прикладное и системное ПО, средства разработки и утилиты; Физические активы: компьютеры и оборудование, магнитные носители данных, серверные помещения; • Люди: персонал, клиенты; • Деловая репутация; • Сервисы: услуги по обслуживанию ИТ, телекоммуникации, электропитание и т.п. 10
  11. 11. Примеры угроз • Пожар • Землетрясение • Сбой оборудования • Неавторизованный доступ к системам • Ошибки пользователя • Кража 11
  12. 12. Примеры уязвимостей • Недостаточна осведомленность пользователей в области ИБ • Плохое качество документации • Слабая физическая защита серверных помещений • Отсутствие журналов аудита • Слабая политика в области парольной защиты • Возможность бесконтрольной загрузки и использования ПО 12
  13. 13. Вычисление значения рисков Степень угрозы Низкая Средняя Высокая Степень уязвимости L M H L M H L M H 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 Ценность 2 2 3 4 3 4 5 4 5 6 актива 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 13
  14. 14. Выбор подходящего варианта реагирования на риски . •Внедрение мер контроля для минимизации рисков; • Осознание и принятие рисков; • Избежание рисков; • Передача рисков третьим сторонам 14
  15. 15. Выбор мер контроля для снижения риска до приемлемого уровня • Выбор мер контроля из ISO 17799, CobIT; • Выбор дополнительных мер контроля, специфичных для организации/отрасли/страны; • Утверждение ведомости применимости (для ISO 27001) 15
  16. 16. Новейшие методики оценки рисков • ISO 27005 (Проект) 16
  17. 17. Контактная информация Андрей Дроздов +7 (095) 937 4477 ADrozdov@kpmg.ru www.kpmg.com Информация, содержащаяся в настоящей презентации, носит общий характер и подготовлена без учета конкретных обстоятельств того или иного лица или организации. Хотя мы неизменно стремимся представлять своевременную и точную информацию, мы не можем гарантировать того, что данная информация окажется столь же точной на момент получения или будет оставаться столь же точной в будущем. Предпринимать какие-либо действия на основании такой информации можно только после консультаций с соответствующими специалистами и подробного анализа конкретной ситуации. © 2005 KPMG LLP, the UK member firm of KPMG International, a Swiss cooperative. All rights reserved. The KPMG logo and name are trademarks of KPMG International. © 2005 КПМГ Лимитед, член ассоциации KPMG International, зарегистрированной по законодательству Швейцарии. Все права защищены. Напечатано в России.

×