Information security risk management.pdf

Модуль 1.
МЕНЕДЖМЕНТ РИСКОВ В ОРГАНИЗАЦИИ
 Введение в риск-менеджмент
 Организация системы риск-менеджмента
 Цели и задачи управления рисками в
соответствии с ISO 31000.
 Анализ и оценка рисков.
 Управление риском.
 Методы оценки риска в соответствии с
ISO/IEC 31010.

ВВЕДЕНИЕ В РИСК-МЕНЕДЖМЕНТ
 Категория «РИСК»
 Терминология риск-менеджмента
 Виды и классификация рисков
 Факторы и причины риска
 Область, принципы, процесс
ГОСТ Р 51897-2002
«Менеджмент риска.
Термины и определения».
ISO Guide 73

СОДЕРЖАНИЕ
Введение в риск-менеджмент
 Категория «РИСК»
 Терминология риск-менеджмента
 Виды и классификация рисков
 Факторы и причины риска
 Область, принципы, процесс
ГОСТ Р 51897-2002
«Менеджмент риска.
Термины и определения».
ISO Guide 73

КАТЕГОРИЯ «РИСК»
Риск и Потери:
 материальные
 трудовые
 финансовые
 времени
 специальные

Риск – не только потери
Риск – возможность, вероятность:
 отклонения от цели;
 несовпадения фактического результата с намеченным,
в условиях объективно существующей неопределенности

РИСК
ВЛИЯНИЕ НА БИЗНЕС
УРОВЕНЬ
УЯЗВИМОСТЕЙ
УРОВЕНЬ
УГРОЗЫ
«Это вероятность того,
что произойдет
некое [плохое] событие,
которое окажет
[негативное] влияние
на цели [вашего бизнеса]»

Характеристики риска:
 противоречивость
 альтернативность
 неопределенность

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Риск (risk) – сочетание вероятности события и его последствий.
Последствие (consequence) – результат события.
Вероятность (probability) – мера того, что событие может
произойти.
Событие (event) – возникновение специфического набора
обстоятельств, при которых происходит явление.

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Критерии риска (risk criteria) – правила, по которым оценивают
значимость риска.
Менеджмент риска (risk management) – скоординированные
действия по руководству и управлению организацией в
отношении риска.
Система менеджмента риска (risk management system) – набор
элементов системы менеджмента организации в отношении
менеджмента риска.

КЛАССИФИКАЦИЯ РИСКОВ
1. По сфере возникновения или по характеру учета:
 внешние
 внутренние:
2. По уровню принятия решения
 макроэкономические (глобальные)
 отдельного предприятия (локальные)
3. По продолжительности во времени:
 кратковременные
 постоянные

4. По степени правомерности:
 оправданный
 неоправданный:
5. По степени воздействия
 допустимый или минимальный
 критический l степени (потери равны прибыли) и ll степени
(затраты на производство не окупаются)
 катастрофический (угроза банкротства)

6. По возможности страхования:
 страхуемые
 нестрахуемые
7. По объектам подверженным риску (в страховании)
 риски нанесения ущерба жизни и здоровью граждан
 имущественные

• Производственные
• Инновационные
• Финансовые
• Коммерческие
• Информационные
• Социальные
• Экологические
• Политические
• Репутационные
Виды риска (общие)

Кредитный риск
Страновой риск
Рыночный риск
Процентный риск банковского портфеля
Риск ликвидности
Операционный риск
Правовой риск
Кибер-риск
Риск технический
Риск в сфере информационных технологий
Риск, связанный с аутсорсингом
+ еще 13 видов операционного риска
Стратегический риск
Репутационный риск
Риск концентрации
https://www.nbrb.by/legislation/documents/PP_550_2016.pdf
ВИДЫ РИСКА (Банк)

ФАКТОРЫ И ПРИЧИНЫ РИСКА
Факторы риска – условия, способствующие проявлению причин
риска.
 Определяют возникновение причин и воздействие различных
видов риска.
Причина – источник возникновения риска.
 Конкретные незапланированные события, которые потенциально
могут осуществиться и привести к отклонению от намеченного
результата.

ВНЕШНИЕ ФАКТОРЫ РИСКА
Косвенного воздействия: политическая и экономическая
обстановка в стране, экономическое положение отрасли,
международные события, стихийные бедствия.
Прямого воздействия: законодательство, действия органов
управления, налоговая система, взаимоотношения с партнерами,
конкуренция, коррупция.

ВНУТРЕННИЕ ФАКТОРЫ РИСКА
Субъективные: стратегия организации, принципы деятельности,
ресурсы и их использование, качество и уровень использования
маркетинга.
Объективные: производственной и воспроизводственной
деятельности, управления и обращения.

ФАКТОРЫ И ПРИЧИНЫ РИСКА (Пример)
Риск остановки оказания услуг из-за несоответствия
требованиям законодательства в области ЗИ
Причина риска: отсутствие компетентного должностного лица
ответственного за ЗИ, незнание руководством компании требований
законодательства в области ЗИ и ответственности за его нарушение,
отсутствие проверок со стороны регулятора.
Факторы риска: постоянно изменяющееся законодательство,
контрольная (надзорная) деятельность регулятора, деятельность
конкурентов по приведению в соответствие, жалобы регулятору со
стороны клиентов.

ОБЛАСТЬ ПРИМЕНЕНИЯ РМ
Связана с управлением, принятием обоснованных решений в
различных сферах деятельности.
Управление рисками – в зависимости от размера компании -
функция руководства (ген.дир., фин.дир) или отдельной службы
(должностного лица), с контролем со стороны ТОП менеджмента.

СЛУЖБА РМ
Обязанности службы (должностного лица) управления рисками:
 разработка детального плана управления рисками;
 сбор информации о рисках, которым подвержена
организация, ранжирование, а также информирование о них
руководства;
 консультирование подразделений компании по управлению
рисками.
Важно: разграничение полномочий риск-менеджмента и топ-
менеджмента (напр. в зависимости от величины возможного ущерба в
случае реализации риска, размера лимита ущерба.

ОРГАНИЗАЦИЯ РМ
Концентрированный подход:
 все в рамках одного подразделения (анализ, оценка, и
менеджмент всех рисков)
Распределенная модель:
 служба РМ - методика управления рисками, мониторинг
рисков;
 другие подразделения – изучают и минимизируют риски
характерные для своего направления деятельности.

РИСК-МЕНЕДЖЕР
Выявляет возможные проблемы предприятия и ищет пути их
решения.
Задача риск-менеджера: обеспечение Руководства компании
информацией (для принятия управленческих решений),
помогающей минимизировать воздействие риск-факторов, и
получить наиболее стабильные и эффективные результаты.
Цель менеджмента риска: обеспечение баланса
(оптимального для акционеров и руководства) между
максимизацией прибыли и долгосрочной стабильностью
деятельности компании.

ПРИНЦИПЫ РМ
Комплексность
 вовлечение всех подразделений по всем направлениям
деятельности.
Непрерывность
 реализация системы постоянного контроля и мониторинга.
Интеграция
 стремление к выявлению интегрального риска (взвешенная
оценка всего спектра факторов и причин риска).

ЭТАПЫ СОЗДАНИЯ СИСТЕМЫ РМ
1. На основе анализа БП и деятельности, сформировать систему (карту)
рисков Компании.
2. Создать и обеспечить функционирование службы (должностного лица)
мониторинга рисков, для контроля за текущими рисками.
3. Разработать методики и принципы оценки рисков, и протестировать их
достоверность.
4. Разработать системы управления рисками, направленные на
минимизацию негативного воздействия рисков и профилактику их
возникновения. Разработать сценарии действий в сложных (кризисных)
ситуациях.
5. Отслеживать, анализировать изменения результативности деятельности
Компании с учетом внедрения системы РМ.

АНАЛИЗ И ОЦЕНКА РИСКОВ
 Алгоритм реализации РМ
 Виды оценки рисков
 Анализ рисков
 Картографирование рисков

АЛГОРИТМ РЕАЛИЗАЦИИ ТЕХНОЛОГИИ РМ
Анализ внешней и внутренней
среды Организации
Установление возможности
использования определенных
методов оценки риска
Выбор и определение
возможностей снижения
негативного воздействия
Определение эффективности
системы риск-менеджмента
Реализация мероприятий по
снижению негативного
воздействия рисков
Сравнительный анализ
результатов оценки различных
видов риска
Выявление видов рисков
повышенного воздействия
Выявление видов рисков,
построение системы рисков
Организации
Выявление факторов и причин
рисков

КАЧЕСТВЕННАЯ ОЦЕНКА РИСКОВ
 Направлена на установление существования
различных видов риска, определяющих их факторов
и причин.
 Результат – система рисков.

КОЛИЧЕСТВЕННАЯ ОЦЕНКА РИСКОВ
 Проводится на основе результатов качественного
анализа рисков.
 Заключается в определении вероятности
воздействия риска и характера его влияния на
показатели деятельности Компании.

ВИДЫ ОЦЕНКИ РИСКОВ
В соответствии с характером используемой исходной
информации:
 априорная оценка - основывается на теоретических
положениях и выражает требования к будущим
последствиям определенных решений, событий;
 эмпирическая оценка – использует фактические
данные за прошедший период времени.

В зависимости от стадии принятия решения:
 оценка «стартового» риска – в идее, проекте,
замысле;
 оценка «финального» риска – в уже принятом
решении, совершенном действии.

В соответствии с полученным результатов:
 оценка отдельных видов риска;
 оценка комплексного (совокупного) уровня риска.

В зависимости от степени объективности:
 субъективная – основанная на результатах опроса
экспертов;
 объективная – проводимая на основе статистической
информации за продолжительный период времени.

АНАЛИЗ РИСКОВ ОРГАНИЗАЦИИ
Необходимо выявить:
1. Факторы (внешние, внутренние)
2. Причины
3. Виды

Внешние факторы:
 Состояние и тенденции изменения конъюнктуры рынка,
структуры потребления, уровня конкуренции внутри
отрасли, покупательной способности потребителей;
 Специфика отрасли, сферы деятельности, продукции, услуг
 Характеристики инфраструктуры рынка, НПА.

Внешние факторы обуславливают возникновение следующих
причин риска:
 Непредвиденные изменения внешней среды, вынуждающие
партнера, поставщика, потребителя изменить условия договора с
Компанией повышения цен, налогов и т.д.)
 Появление на рынке более выгодных предложений;
 Изменение целевых установок потребителя (напр. повышение
статуса и как следствие требований к услугам, продукции)
 Изменение личных отношений между руководителями Компаний

Внутренние факторы:
 Кадровая политика Компании, психологический климат в
коллективе, уровень квалификации персонала;
 Состояние материально-технической базы;
 Соответствие используемых технологий современным
разработкам и достижениям в области науки и техники;
 Характеристика, уровень конкурентоспособности
продукции, услуг;
 Качество процессов, системы управления в целом.

Внутренние факторы обуславливают появление следующих
причин риска:
 Ошибки, недобросовестность сотрудников;
 Поломки, отказ в работе оборудования, ИКТ и систем;
 Потеря конкурентных преимуществ в результате повышения затрат
на производство продукции, услуг, неиспользования
инновационных разработок;
 Несоответствие продукции, услуг требованиям к их качеству;
 Принятие необоснованных оперативных, стратегических решений.

Выявление рисков:
 Осознание и фиксация проблемной ситуации, наличия
возможности отклонения от запланированного результата в
данной области функционирования системы;
 Формулировка конкретной проблемы; определение
нежелательного состояния системы, развития событий;
 Выявление состава угроз по важности или наиболее
вероятных отклонений от запланированного развития
событий.

АЛГОРИТМ РЕАЛИЗАЦИИ ТЕХНОЛОГИИ РМ
ФАКТОРЫ
Нестабильность
экономической среды.
Непредсказуемость
развития ситуации на
фондовом, валютном и
других рынках
ПРИЧИНЫ
Недостаток финансовых,
валютных,
инвестиционных
ресурсов Компании для
осуществления новых,
инновационных видов,
направлений
деятельности
ВИД РИСКА
Риск упущенной
выгоды

СОСТАВЛЕНИЕ КАРТЫ РИСКОВ
Карта рисков – графическое и текстовое описание определенных
видов рисков организации, представленных в виде прямоугольной
таблицы.
 ось Х – вероятность или частота возникновения риска;
 ось Y – сила воздействия или значимость риска.

СОСТАВЛЕНИЕ КАРТЫ РИСКОВ
Алгоритм:
 Определить цель и границы анализа (например компания в целом
или отдельные процессы)
 Сформировать команду
 Выявить все потенциальные риски с использованием различных
методов оценки рисков («мозговой штурм», сценарный анализ,
составление опросников и т.д.).
 Ранжирование отдельных видов рисков по степени их воздействия
и вероятности;
 Определить области и границы толерантности к риску;
 Построение карты рисков.

УПРАВЛЕНИЕ РИСКОМ

МЕТОДЫ УПРАВЛЕНИЯ РИСКОМ
Активное управление рисками:
 Постоянное проведение мероприятий по учету и контролю
воздействия рисков, создание стабильно развивающейся
динамичной системы РМ с использованием технологий оценки и
управления рисками.
Пассивное управление рисками:
 Осуществляется в рамках существующей организационной
системы Компании, реализации процессов планирования,
проектирования, обеспечения ресурсами и.т.д. без выявления и
оценки рисков.

МЕТОДЫ УПРАВЛЕНИЯ РИСКОМ
 избегание риска посредством принятия решения не начинать или не
продолжать деятельность, которая обусловливает возникновение
риска;
 принятие или повышение риска для использования возможностей;
 устранение источника риска;
 изменение вероятности возникновения;
 изменение последствий;
 разделение риска с другой стороной или сторонами (включая
контракты и финансирование риска);
 сохранение риска на основании обоснованного решения.

ОБРАБОТКА РИСКОВ
Обработка рисков предусматривает выбор одного или нескольких вариантов
изменения рисков и внедрение этих вариантов. После их внедрения обработка
обеспечивает или модифицирует средства управления.
Обработка рисков предусматривает циклический процесс, состоящий из:
 проведения оценки обработки рисков;
 принятия решения относительно того, являются ли уровни остаточного риска
допустимыми;
 инициализации новой обработки рисков, если уровни остаточного риска
недопустимы;
 проведение оценки результативности этой обработки.

ОБРАБОТКА РИСКОВ
Подготовка и внедрение планов обработки рисков
Целью планов обработки рисков является документирование того, как будут
внедряться выбранные варианты обработки. Следует, чтобы информация,
представленная в планах обработки рисков, включала:
 мотивы для выбора вариантов обработки, включая ожидаемые выгоды, которые
должны быть получены;
 лиц, ответственных за одобрение плана, а также лиц, ответственных за
внедрение плана;
 предлагаемые действия;
 требования к ресурсам, включая непредвиденные обстоятельства;
 измерения и ограничения деятельности;
 требования к отчетности и мониторингу;
 сроки и график выполнения.

Модуль 2.
ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В СИСТЕМАХ МЕНЕДЖМЕНТА
 Системы менеджмента
информационной безопасности
(ISO/IEC 27001:2013).
 Системы управления услугами
(ISO/IEC 20000-1:2018).
 Системы менеджмента
непрерывности бизнеса (ISO
22301:2019)

СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ (ISO/IEC 27001:2013)

«Информационные технологии. Методы
обеспечения безопасности. Системы
менеджмента информационной безопасности.
Требования»
 Устанавливает требования к разработке,
внедрению, поддержанию и постоянному
улучшению СМИБ в контексте организации.
 Включает требования по оценке и
обработке рисков ИБ в соответствии с
потребностями организации.
 Носит общий характер и предназначен для
применения всеми организациями,
независимо от типа, размера или характера
деятельности.
49/91
ISO/IEC 27001:2013
СИСТЕМА МЕНЕДЖМЕНТА ИБ

50/91
Проект
разработки
и внедрения
СМИБ
7. Программа внедрения
СМИБ
3.
Инвентариза-
ция инфо-
активов
0. Start
2. Определить
область
применения
6. Разработать
программу
внедрения СМИБ
5b. Подготовить
план обработки
рисков
4. Оценка
риска
1. Получить
поддержку
руководства
N
N-1
Один из
проектов
программы
Реестр
План обработки
риска
Область
применения
Обоснование
для бизнеса
8. Система
менеджмента
информационной
безопасности
План проекта
11. Проверка
соответствия
5a.
Подготовить
положение о
применмости
Положение о
применимости
(SoA)
12.
Корректирующие
дествия
ISO/IEC 27002
13. Пред-
аудит
14.
Сертификаци
онный аудит
ISO/IEC 27001
Сертификат
ISO/IEC 27001
9. Свидетельства
функционирования
СМИБ
Copyright © 2016
ISO27k Forum Version 4
www.ISO27001security.com
Report
Report
Инциденты
Logs
Report
Отчеты по анализу
со стороны
руководства
Политики
Стандарты
Процедуры
Руководства
15.
Эксплуатация
СМИБ
16. Ежегодные
аудиторские
проверки
Report
Метрики
ISO/IEC 27005
ISO/IEC 27003
ISO/IEC 27004
10.
Внутренний
аудит СМИБ
Report
Report
BCP
Report
Отчеты по
аудиту
ISO 22301
НПА,
ТНПА,
договоры
Легенда
Деятельность
Международный
стандарт
Документ
или запись
Набор или
группа
Viacheslav Aksionov
Itsec.by

 Система менеджмента информационной безопасности (СМИБ) -
представляет модель для создания, внедрения,
функционирования, мониторинга, анализа, поддержки и
улучшения защиты информационных активов для достижения
деловых целей, основанную на оценке риска и на принятии
уровней риска организации, разработанную для эффективного
рассмотрения и управления рисками.
51/91
ISO/IEC 27001

52/91
Структура стандарта СТБ ISO/IEC 27001-2016
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Операционная деятельность
9. Оценивание пригодности
10. Улучшение
Приложение А – Перечень целей управления и средств управления (меры ЗИ)
Оценка и обработка риска
PLAN
DO
CHECK
ACT
Оценка и обработка риска

6.1.2. ОЦЕНКА РИСКА ИБ
Организация должна определить и применять процесс
оценки риска информационной безопасности, который:
a) устанавливает и поддерживает критерии риска
информационной безопасности, которые включают:
1) критерии принятия риска; и
2) критерии для осуществления оценок риска
информационной безопасности;
b) обеспечивает, что повторные оценки риска
информационной безопасности позволят получить
логичные, обоснованные и сопоставимые результаты;

Организация должна определить и применять процесс оценки риска
информационной безопасности, который:
c) обеспечивает идентификацию рисков информационной
безопасности:
1) включает процесс оценки риска информационной
безопасности, направленный на идентификацию рисков,
связанных с потерей конфиденциальности, целостности и
доступности информации в рамках области применения системы
менеджмента информационной безопасности; и
2) идентифицирует владельцев рисков;

d) обеспечивает анализ рисков информационной безопасности:
1) оценку потенциальных последствий, которые могут возникнуть
в случае реализации рисков, указанных в 6.1.2, перечисление с),
позиция 1); и
2) оценку вероятности возникновения рисков, указанных в 6.1.2,
перечисление с), позиция 1);
3) определение уровней риска;

e) обеспечивает оценку рисков информационной безопасности:
1) сравнение результатов анализа рисков с критериями рисков,
установленными в 6.1.2, перечисление а); и
2) расстановку рисков по приоритетам для последующей обработки
рисков.
Организация должна сохранять документированную информацию о процессе
оценки рисков информационной безопасности.

6.1.3. ОБРАБОТКА РИСКОВ ИБ
Организация должна определить и применять процесс обработки риска
информационной безопасности для:
a) выбора соответствующих вариантов обработки рисков
информационной безопасности с учетом результатов оценки
риска;
b) определения всех средств управления, которые
необходимы для реализации выбранного варианта (ов)
обработки риска информационной безопасности.
c) сравнения средств управления, определенных в 6.1.3,
перечисление b), с приведенными в приложении А, для
удостоверения того, что не были упущены необходимые
средства управления;

6.1.3. ОБРАБОТКА РИСКОВ ИБ
Организация должна определить и применять процесс обработки риска
информационной безопасности для:
d) разработки положения о применимости (SoA), которое содержит
необходимые средства управления (см. 6.1.3, перечисления Ь) и с))
и обоснования их включения (независимо от того, внедрены они или
нет), а также обоснования исключений средств управления из
приложения А;
e) разработки плана обработки рисков информационной
безопасности; и
f) получения одобрения плана обработки рисков информационной
безопасности от владельцев рисков и подтверждения ими принятия
остаточных рисков информационной безопасности.

8.2. ОЦЕНКА РИСКОВ ИБ
 Организация должна выполнять оценку рисков
информационной безопасности с учетом критериев,
установленных в 6.1.2, перечисление а), через
запланированные интервалы времени или когда
предполагаются или произошли существенные изменения.
 Организация должна сохранять документированную
информацию о результатах оценок риска информационной
безопасности.

8.3. ОБРАБОТКА РИСКОВ ИБ
 Организация должна выполнять план обработки риска
информационной безопасности.
 Организация должна сохранять документированную
информацию о результатах обработки риска
информационной безопасности.

СИСТЕМЫ УПРАВЛЕНИЯ УСЛУГАМИ
(ISO/IEC 20000-1:2018)

 Стандарт определяет требования к
организациям по установлению,
внедрению, поддержанию и
постоянному улучшению системы
менеджмента сервисов (СМС).
 Требования включают в себя
планирование, проектирование,
перенесение, поставку и
улучшение сервисов для
выполнения требований сервисов
и принесения выгоды.
62/91
ISO/IEC 20000-1:2018
СИСТЕМА УПРАВЛЕНИЯ УСЛУГАМИ

63/91
ISO/IEC 20000-1:2018
6 Planning
6.1 Actions to address risk and
opportunities

64/91
ISO/IEC 20000-1:2018
8 Operation
8.7 Service assurance
8.7.1 Service availability
management
8.7.2 Service continuity
management
8.7.3 Information security
management

ISO/IEC 20000-1:2018 — «Information technology – Service
management – Part 1: Service management system
requirements»
https://www.iso.org/standard/70636.html
8.7.3 Information Security
Management
8.7.3.1 Information Security
Policy
Controls
Incidents
ISO/IEC
27001:2013
ISO/IEC 27005

8.7.3 Information security management
8.7.3.2 Средства управления информационной безопасностью
 Через запланированные интервалы времени риски, связанные с
информационной безопасностью, в отношении СМС и сервисов должны
быть оценены и документированы. Средства управления информационной
безопасностью должны быть определены, внедрены и реализованы в целях
обеспечения политики в области информационной безопасности, а также должны
учитывать идентифицированные риски, связанные с информационной
безопасностью. Решения в отношении средств управления информационной
безопасностью должны быть документированы.
 Организация должна согласовать и внедрить средства управления
информационной безопасностью в отношении рисков, связанные с
информационной безопасностью для внешних организаций.
 Организация должна осуществлять мониторинг и анализ результативности
средств управления информационной безопасностью и предпринимать
соответствующие действия.

СИСТЕМЫ МЕНЕДЖМЕНТА НЕПРЕРЫВНОСТИ
БИЗНЕСА (ISO 22301:2019)

68/91
ISO 22301:2019
БИЗНЕСА

69/91
ISO 22301:2019
БИЗНЕСА

70/91
ISO 22301:2019
БИЗНЕСА

71/91
ISO 22301:2019
БИЗНЕСА

72/91
ISO 22301:2019
БИЗНЕСА

ДРУГИЕ ТРЕБОВАНИЯ НПА И ТНПА
ПО УПРАВЛЕНИЮ РИСКАМИ
Приказ ОАЦ №66 «Положение о порядке технической и криптографической защиты
информации, обрабатываемой на критически важных объектах информатизации»
Постановление правления НБРБ № 550 «Инструкция об организации системы управления
рисками ...»
ТТП 2.1 – 2020 «Информационные технологии и безопасность. Обеспечение
информационной безопасности банков Республики Беларусь. Требования к системам
менеджмента информационной безопасности»
General Data Protection Regulation

Приказ ОАЦ №66 «Положение о порядке технической и
криптографической защиты информации, обрабатываемой на критически
важных объектах информатизации»

Проектирование системы ИБ КВОИ:
Этап Результат
15.1. определение внутренних (организационная структура, информационные системы, информационные потоки
и процессы) и внешних (взаимосвязи с контрагентами и другое) границ, оказывающих влияние на обеспечение
ИБ КВОИ;
Отчет о проведении
обследования КВОИ
15.2. определение целей обеспечения ИБ КВОИ, совместимых с процессами деятельности владельца КВОИ и
прогнозными документами организации;
Отчет о проведении
15.3. инвентаризация (выявление и учет), а также определение степени важности для основной деятельности
владельца КВОИ (исходя из конфиденциальности, целостности и доступности) активов КВОИ;
Реестр активов КВОИ
15.4. определение работников, ответственных за использование активов КВОИ; Отчет о проведении
Раздел в Политику ИБ
15.5. определение физических и логических границ области применения системы ИБ с использованием
структурной и логической схем КВОИ;
Формуляр КВОИ
Структурная схема
Логическая схема
15.6. определение угроз ИБ КВОИ; Реестр (каталог) угроз
КВОИ
15.7. разработка методологии (методики) оценки рисков ИБ КВОИ и оценка таких рисков; Методика оценки рисков
Отчет по результатам
оценки рисков
15.8. определение требований к параметрам настройки программных и программно-аппаратных средств,
включая средства ЗИ, по обеспечению ИБ КВОИ, блокированию (нейтрализации) угроз ИБ КВОИ;
Положение по
администрированию КВОИ
15.9. определение средств управления, необходимых для реализации выбранного варианта обработки рисков
ИБ КВОИ.
План обработки рисков

Проведение обследования КВОИ (Аудит)

Проведение оценки и обработки рисков безопасности
1.1.
Идентификация
активов
Активы ИС
1.2.
угроз
Модель угроз
1.3.
уязвимостей
Уязвимости ИС
1.4.
мер защиты
Меры защиты
ИС
2.1. Оценка
вероятности
реализации
угроз
Вероятность
угроз
2.2. Оценка
возможных
последствий
Последствия
(ущерб)
3.1. Оценка
рисков
Уровень риска

ОЦЕНКА И УПРАВЛЕНИЕ IT-РИСКАМИ В БАНКЕ.
 ТТП ИБ 2.1 – 2020
 ТТП ИБ 4.1 – 2020
 Постановление правления НБРБ № 550

Постановление правления НБРБ № 550
«Инструкция об организации системы управления рисками ...»
https://www.nbrb.by/legislation/documents/PP_550_2016.pdf
Кредитный риск
Страновой риск
Рыночный риск
Процентный риск банковского портфеля
Риск ликвидности
Операционный риск
Правовой риск
Кибер-риск
Риск технический
Риск в сфере информационных технологий
Риск, связанный с аутсорсингом
+ еще 13 видов операционного риска
Стратегический риск
Репутационный риск
Риск концентрации

80/91
ТТП ИБ 2.1 «Информационные технологии и
безопасность. Обеспечение информационной
безопасности банков Республики Беларусь.
Требования к системам менеджмента
информационной безопасности».

8 Требования к выбору/коррекции подхода к оценке рисков нарушения
информационной безопасности и проведению оценки рисков нарушения
9 Требования к разработке планов обработки рисков нарушения информационной
безопасности
81/91
ТТП ИБ 2.1
ОБЕСПЕЧЕНИЕ ИБ БАНКОВ РБ

8.1 В организации БС должна быть принята /
корректироваться методика оценки рисков нарушения ИБ
/ подход к оценке рисков нарушения ИБ.
8.2 В организации БС должны быть определены критерии
принятия рисков нарушения ИБ и уровень допустимого
риска нарушения ИБ.
82/91
8 Требования к выбору/коррекции подхода к оценке
рисков нарушения ИБ и проведению оценки рисков
нарушения ИБ

8.3 Методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ
организации БС должна определять способ и порядок качественного или
количественного оценивания риска нарушения ИБ на основании оценивания:
– степени возможности реализации угроз ИБ выявленными и (или)
предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и
нарушителя, в результате их воздействия на объекты среды информационных
активов организации БС (типов информационных активов);
– степени тяжести последствий от потери свойств ИБ, в частности свойств
доступности, целостности и конфиденциальности, для рассматриваемых
информационных активов (типов информационных активов).
Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры
оценки рисков нарушения ИБ, а также последовательность их выполнения.
83/91

8.4 Оценка рисков нарушения ИБ проводится для свойств ИБ всех
информационных активов (типов информационных активов) области действия
СОИБ.
8.5 Полученные в результате оценивания рисков нарушения ИБ величины рисков
должны быть соотнесены с уровнем допустимого риска, принятого в организации
БС. Результатом выполнения указанной процедуры является документально
оформленный перечень недопустимых рисков нарушения ИБ.
84/91

8.6 В организации БС должны быть документально определены роли, связанные с
деятельностью по определению/коррекции методики оценки рисков нарушения
ИБ/подхода к оценке рисков нарушения ИБ, и назначены ответственные за
выполнение указанных ролей.
8.7 Требования по менеджменту рисков ИБ в организации БС изложены в ТТП ИБ
4.1-2020.
85/91
8.4 Требования к выбору/коррекции подхода к
оценке рисков нарушения ИБ и проведению оценки
рисков нарушения ИБ

9.1 По каждому из рисков нарушения ИБ, который является недопустимым, должен
быть документально определен план, устанавливающий один из возможных
способов его обработки:
– перенос риска на сторонние организации (например, путем страхования
указанного риска);
– уход от риска (например, путем отказа от деятельности, выполнение которой
приводит к появлению риска; страхование риска);
– осознанное принятие риска;
– формирование требований ИБ, снижающих риск нарушения ИБ до допустимого
уровня и формирования планов по их реализации.
86/91
9 Требования к разработке планов
обработки рисков нарушения ИБ

9.2 Планы обработки рисков нарушения ИБ должны быть согласованы с
руководителем службы ИБ либо лицом, отвечающим в организации БС за
обеспечение ИБ, и утверждены руководством.
9.3 Планы реализаций требований по обеспечению ИБ должны содержать
последовательность и сроки реализации и внедрения организационных,
технических и иных мер защиты.
9.4 В организации БС должны быть документально определены роли по
разработке планов обработки рисков нарушения ИБ и назначены ответственные за
выполнение указанных ролей.
87/91
9 Требования к разработке планов обработки рисков

ТТП ИБ 2.1 «Информационные технологии и безопасность.
Обеспечение информационной безопасности банков
Республики Беларусь. Требования к системам менеджмента
информационной безопасности».
ТТП ИБ 2.1-2020
8 Требования к выбору/коррекции
подхода к оценке рисков нарушения
информационной безопасности и
проведению оценки рисков нарушения
9 Требования к разработке планов
обработки рисков нарушения
Постановлени
е правления
НБРБ № 550
«Инструкция
об
организации
системы
управления
рисками ...»
ТТП ИБ 4.1-2020
Рекомендуемые

Статья 32 GDPR. Безопасность обработки
90
1. Принимая во внимание текущий уровень научно-технического прогресса, стоимость
внедрения и характер, масштабы, контекст и цели обработки, а также риски, связанные с той
или иной вероятностью и серьезностью нарушения прав и свобод физических лиц,
контролёр и процессор должны реализовать соответствующие технические и организационные
меры для обеспечения уровня безопасности соответствующего данным рискам, включая в
частности при необходимости:
(a) псевдонимизацию и шифрование персональных данных;
(b) способность обеспечить постоянную конфиденциальность, целостность, доступность и
устойчивость систем и сервисов обработки;
(c) способность своевременно восстанавливать доступность персональных данных в случае
возникновения физического или технического инцидента;
(d) регулярное тестирование, оценку и измерение эффективности технических и
организационных мер по обеспечению безопасности обработки.
2. При оценке достаточности уровня безопасности необходимо учитывать риски,
связанные с обработкой, в частности риски случайного или незаконного уничтожения, потери,
изменения, несанкционированного раскрытия или доступа к переданным, хранимым, или другим
образом обрабатываемым персональным данным

Article 35 Data
protection impact
assessment
The assessment
shall contain at
least:
(a) a systematic description of the envisaged processing operations
and the purposes of the processing, including, where applicable, the
legitimate interest pursued by the controller;
(b) an assessment of the necessity and proportionality of
the processing operations in relation to the purposes;
(c) an assessment of the risks to the rights and freedoms of data
subjects referred to in paragraph 1; and
(d) the measures envisaged to address the risks, including
safeguards, security measures and mechanisms to ensure the
protection of personal data and to demonstrate compliance with this
Regulation taking into account the rights and legitimate interests of
data subjects and other persons concerned.
https://gdpr.eu/wp-content/uploads/2019/03/dpia-template-v1.pdf
https://data-privacy-office.com/en/kursy/

Еще подходы к оценке риска ИБ (CS)
SP 800-30 Rev. 1 Guide for Conducting Risk
Assessments
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication
800-30r1.pdf
ISO/IEC 27005 СТБ 34.101.70 СТБ 34.101.61
Cloud Computing Risk Assessment
https://www.enisa.europa.eu/publications/cloud
-computing-risk-assessment
https://ec.europa.eu/home-affairs/sites/homeaffairs/files/e-library/docs/pdf/ra_ver2_en.pdf
Risk assessment methodologies for Critical Infrastructure Protection.
ТТП ИБ 4.1-2020

Модуль 3.
ПРОВЕДЕНИЕ ОЦЕНКИ РИСКОВ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
 Модель нарушителя.
 Угрозы безопасности информационных
технологий.
 Анализ рисков.
 Управление рисками.

МОДЕЛЬ НАРУШИТЕЛЯ

МОДЕЛЬ НАРУШИТЕЛЯ ИБ
 Источник угрозы – Сущность которая негативно (отрицательно) влияет на
активы (СТБ 34.101.1). «субъект, материальный объект, явление».
 Нарушитель ИБ – Субъект, реализующий угрозы ИБ, нарушая
установленные правила доступа к активам организации БС или распоряжения
ими (ТТП ИБ 1.1)
 Модель нарушителя ИБ – Описание и классификация нарушителей ИБ,
включая описание их опыта, знаний, доступных ресурсов, необходимых для
реализации угрозы, возможной мотивации их действий, а также способы
реализации угроз ИБ со стороны указанных нарушителей (ТТП ИБ 1.1).
Термины

96/31
Контролируемая зона
Контролируемая зона
Квалификация Ресурсы Мотивация
Внешний Внутренний
Авторизованный
Неавторизованный

Тип Внешний, внутренний
Цели Нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики. Дискредитация
или дестабилизация деятельности органов государственной власти, организаций
Потенциал Высокий
Возможности Обладают всеми возможностями нарушителей с базовым и базовым повышенным потенциалами. Имеют
возможность осуществлять несанкционированный доступ из выделенных (ведомственных, корпоративных)
сетей связи, к которым возможен физический доступ (незащищенных организационными мерами). Имеют
возможность получить доступ к программному обеспечению чипсетов (микропрограммам), системному и
прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-
техническим средствам информационной системы для преднамеренного внесения в них уязвимостей или
программных закладок. Имеют хорошую осведомленность о мерах защиты информации, применяемых в
информационной системе, об алгоритмах, аппаратных и программных средствах, используемых в
информационной системе. Имеют возможность получить информацию об уязвимостях путем проведения
специальных исследований (в том числе с привлечением специализированных научных организаций) и
применения специально разработанных средств для анализа программного обеспечения. Имеют возможность
создания методов и средств реализации угроз безопасности информации с привлечением
специализированных научных организаций и реализации угроз с применением специально разработанных
средств, в том числе обеспечивающих скрытное проникновение в информационную систему и воздействие на
нее. Имеют возможность создания и применения специальных технических средств для добывания
информации (воздействия на информацию или технические средства), распространяющейся в виде
физических полей или явлений
Специальные службы иностранных государств (блоков государств)

Тип Внешний
Цели Нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики. Совершение
террористических актов. Идеологические или политические мотивы. Дестабилизация деятельности органов
государственной власти, организаций
Потенциал Средний
Возможности Обладают всеми возможностями нарушителей с базовым потенциалом. Имеют осведомленность о мерах
защиты информации, применяемых в информационной системе данного типа. Имеют возможность получить
информацию об уязвимостях отдельных компонент информационной системы путем проведения, с
использованием имеющихся в свободном доступе программных средств, анализа кода прикладного
программного обеспечения и отдельных программных компонент общесистемного программного обеспечения.
Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования
информационной системы
Террористические, экстремистские группировки

Цели Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление
уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Преступные группы (криминальные структуры)

Цели Идеологические или политические мотивы. Причинение имущественного ущерба путем мошенничества или
иным преступным путем. Любопытство или желание самореализации (подтверждение статуса). Выявление
уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Потенциал Низкий
Возможности Имеют возможность получить информацию об уязвимостях отдельных компонент информационной системы,
опубликованную в общедоступных источниках. Имеют возможность получить информацию о методах и
средствах реализации угроз безопасности информации (компьютерных атак), опубликованных в
общедоступных источниках, и (или) самостоятельно осуществляет создание методов и средств реализации
атак и реализацию атак на информационную систему
Внешние субъекты (физические лица)

Цели Получение конкурентных преимуществ. Причинение имущественного ущерба путем обмана или
злоупотребления доверием
Конкурирующие организации

Цели Внедрение дополнительных функциональных возможностей в программное обеспечение или программно-
технические средства на этапе разработки. Причинение имущественного ущерба путем обмана или
злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия
Разработчики, производители, поставщики ПТС

Тип Внутренний
Цели Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные,
неосторожные или неквалифицированные действия
Лица, привлекаемые для установки, наладки, монтажа, и др. работ

Лица, обеспечивающие функционирование инфраструктуры
(администрация, охрана, уборщики и т.д.)

Пользователи информационной системы

Цели Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или
желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Выявление
уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды. Непреднамеренные,
Администраторы ИС и администраторы ИБ

Цели Причинение имущественного ущерба путем мошенничества или иным преступным путем. Месть за ранее
совершенные действия
Бывшие работники (пользователи)

УГРОЗЫ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

УГРОЗЫ ИБ
 Угроза
 Потенциальная причина нежелательного инцидента, который может
привести к ущербу для системы или организации (СТБ ISO/IEC 27000).
 Потенциально возможное событие, явление или процесс, которые
посредством воздействия на компоненты ИС могут привести к нанесению
ущерба (СТБ 34.101.70).
 Угроза ИБ – Угроза нарушения свойств ИБ (доступности, целостности или
конфиденциальности) информационных активов организации БС (ТТП ИБ
1.1)
Термины

УГРОЗЫ ИБ
 Уязвимость:
 Слабое место объекта (ОО), которое может быть использовано для
нарушения функциональных требований по безопасности в некоторой
среде (СТБ 34.101.1)
 Внутренние свойства, определяющие чувствительность к источнику риска,
который может привести к событию с последствием (СТБ ISO Guide 73).
 Слабое звено актива или средства управления, которое может быть
источником угроз (ISO/IEC 27000)
 Уязвимость ИБ – Слабость в инфраструктуре организации БС, включая
систему обеспечения информационной безопасности, которая может быть
использована для реализации или способствовать реализации угрозы
информационной безопасности (ТТП ИБ 1.1)
Термины

УГРОЗЫ ИБ
 Ущерб – Утрата активов, повреждение (утрата свойств) активов и (или)
инфраструктуры организации БС или другой вред активам и (или) инфраструктуре
организации БС, наступивший в результате реализации угроз ИБ через уязвимости
ИБ (ТТП ИБ 1.1).
 Последствие – Результат события (возникновение или изменение определенного
набора обстоятельств), влияющий на цели (СТБ ISO Guide 73).
 Модель угроз ИБ – Описание источников угроз ИБ; методов реализации угроз ИБ;
объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых
источниками угроз ИБ; типов возможных потерь (например, нарушение
доступности, целостности или конфиденциальности информационных активов);
масштабов потенциального ущерба. (ТТП ИБ 1.1).
Термины

Проектирование СЗИ
 Угроза
 Источник
 Метод реализации
 Актив
 Уязвимость
 Вероятность
 Ущерб
Моделирование угроз ИБ
Модель нарушителя
Компетентность /
Квалификация
Ресурсы
Мотивация

Угроза
Источник – Модель нарушителя
Метод реализации
Актив – Классификация в
соответствии с НПА, ТНПА
Уязвимость
Ущерб
УГРОЗЫ НАРУШЕНИЯ ИБ
Моделирование
Актив
Источник 2
Источник 3
Метод 3
Метод 2
Уязвимость 3
Уязвимость 2
Ущерб
Метод 1 Уязвимость 1
Источник 1
СТБ 34.101.70 ISO/IEC 27005 ТТП ИБ 1.1
http://bdu.fstec.ru/threat
В идеале и раздел в ТЗ
до определения мер
защиты

УГРОЗЫ ИБ
 Угрозы, связанные с физическим доступом к информационным системам
 Нецелевое использование компьютерного оборудования и сети Интернет
сотрудниками организации
 Угрозы утечки конфиденциальной информации
 Угрозы утечки информации по техническим каналам
 Угрозы несанкционированного доступа
 Угрозы недоступности информационных технологий сервисов и
разрушения (утраты) информационных активов
 Угрозы нарушения целостности и несанкционированной модификации
данных
 Угрозы антропогенных и природных катастроф
 Юридические угрозы
Классификация 1

УГРОЗЫ ИБ
 Несоответствие требованиям надзорных и регулирующих органов,
действующему законодательству
 Неблагоприятные события природного, техногенного и социального
характера
 Сбои, отказы, повреждения программных и технических средств
 Внешние нарушители ИБ
 Внутренние нарушители ИБ
Классификация 2

УГРОЗЫ НАРУШЕНИЯ ИБ
Модель
В идеале и раздел в ТЗ
до определения мер
защиты

КОММУНИКАЦИИ И КОНСАЛТИНГ
МОНИТОРИНГ И ОБЗОР
УСТАНОВЛЕНИЕ
КОНТЕКСТА
ОЦЕНКА РИСКА
ОБРАБОТКА
РИСКА
Процесс управления риском
ИДЕНТИФИКА
ЦИЯ РИСКА
АНАЛИЗ
РИСКА
ОЦЕНКА
РИСКОВ
ISO 31000:2018 «Risk management – Guidelines»

МЕНЕДЖМЕНТ РИСКА ИБ (ISO/IEC 27005)
 Схема процесса менеджмента
риска
Процесс

Алгоритм оценки риска (методика)
1.1.
активов
Активы ИС
1.2.
угроз
1.3.
уязвимостей
Уязвимости ИС
1.4.
мер защиты
Меры защиты
ИС
2.1. Оценка
вероятности
угроз
угроз
2.2. Оценка
возможных
последствий
Последствия
(ущерб)
3.1. Оценка
рисков
Уровень риска

Проект оценки риска нарушения ИБ

Управление риском нарушения ИБ
Оценка риска это ПРОЦЕСС а не проект.
Все документы необходимо поддерживать
в актуальном состоянии.
Методика оценки риска
Реестр информационных активов
Каталог угроз
Каталог уязвимостей
Сценарии реализации риска
Отчет по результатам оценки риска
Каталог реализованных мер защиты.
План обработки риска
Положение о применимости
(свидетельства соответствия требованиям
законодательства и стандартов)

Реестр активов
 Активы
 Категории
 Владельцы
 Ценность
Protocol/port
Protocol/port
Protocol/port
Protocol/port
Информационная система N
Подсистема N
Подсистема
интеграции
Смежные
системы
Модуль N Модуль N
Модуль N Модуль N

Каталоги (источники для создания и актуализации)
СТБ
34.101.70
СТБ
34.101.61
ISO/IEC
27005
ISO/IEC
27001
ISO/IEC
27002
ISO/IEC
27017
СТБ
34.101.41
ТТП ИБ 4.1
Приказ ОАЦ
№66
PCI DSS
NIST Special
Publications
ENISA
Publications
CIS Critical
Security
Controls
GDPR OWASP
Базы данных угроз и
уязвимостей различных ИБ
сообществ.

Оценка риска (качественная /
количественная)
возникновения
угрозы
Низкая Средняя Высокая
Уязвимость
актива
Н С В Н С В Н С В
Ценность
актива
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
SLE = Ценность актива х EF (Exposure Factor) SLE – Single Loss Expectancy
ALE = SLE х ARO ALE – Annualized Loss Expectancy
ARO – Annualized Rate of Occurrence

Отчет по результатам оценки риска
Реестр рисков v.1.0
Настоящий «Реестр рисков» представляет собой структурированный способ для записи и анализа рисков информационной безопасности.
Оценка Риска основана на формуле: Риск = Вероятность х Ущерб, где вероятность и Ущерб, определяются в процентах. Настоящий подход используется для
ранжирования рисков и определении приоритета их обработки.
Руководство по заполнению "Реестра рисков"
Руководство по определению Вероятности и Ущерба

План обработки риска

Модуль 4.
ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ
ТЕХНОЛОГИЙ «ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ»
 Оценка рисков информационной
безопасности при использовании технологий
«облачных вычислений»

ОРГАНИЗАЦИИ
128/15
ISO Международная организация по стандартизации
ITU-T Международный союз электросвязи - сектор телекоммуникаций
CSA Альянс безопасности облачных вычислений
ENISA Европейское агентство по сетевой и информационной безопасности
NIST Национальный институт стандартов и технологий США
ISACA Ассоциация по аудиту и контролю информационных систем
SNIA Storage Networking Industry Association (SNIA) - Cloud Storage Initiative
(CSI)

Атрибуты (характеристики) облака
ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ
129/20
NIST SP 800-145
Ключевые
характеристики
1. самообслуживание по запросу (on-demand self-service)
2. повсеместный доступ (broad network access)
3. объединение облачных ресурсов в единый пул (resource pooling)
4. оперативная реакция (rapid elasticity)
5. измеримость (measured service)
Сервисные
модели
1. инфраструктура как услуга (infrastructure as a service - IaaS)
2. платформа как услуга (platform as a service - PaaS)
3. программное обеспечение как услуга (software as a service - SaaS)
Модель
развертывания
1. общественное облако (public cloud)
2. коллективное облако (community cloud)
3. частное облако (private cloud)
4. гибридное облако (hybrid cloud)

АРХИТЕКТУРА ОБЛАЧНОЙ ИС
130/20
MANAGEMENT
TOOLS
OPERATIONS
AUTOMATION
SERVICES
ORCHESTRATION
HARDWARE
VIRTUALIZATION
User control panel
OSS
(Operation support system)
Infrastructure-as-a-Service
Cloud Orchestration System
DATACENTER
(power supply, cooling, air-conditioning, physical security)
Virtualization Management System
Hypervisor
Server
(computing resources)
BSS
(Business support system)
Platform-as-a-Service
Network
(network resources, SDN)
API/SDK
Software-as-a-Service
Storage
(storage resources, SDS)
Administrator control panel

ЗАЩИТА ОБЛАЧНОЙ ИС
131/20
MANAGEMENT
TOOLS
OPERATIONS
AUTOMATION
SERVICES
ORCHESTRATION
HARDWARE
VIRTUALIZATION
Identification
and
Authentication
(FIA)
OS Security
Virtualization Environment Protection
Network Perimeter Protection
Perimeter Protection
AP Security
Environmental Security
Security-as-a-Service
IT-infrastructure Security
Data Protection
Access
Control
(FTA & FTP)
User Data
Protection
(FDP)
Security
Audit
(FAU)
Security
Management
(FMT)

Потребитель
Сторона , которая
состоит в деловых
отношениях
применительно к
использованию
облачных услуг
Партнер
Партнер,
участвующий в
поддержке
деятельности либо
поставщика облачной
услуги , либо
потребителя
облачной услуги или
же оказывает помощь
в этой деятельности
Поставщик
Сторона, которая
предоставляет
облачные услуги
Пользователь
Лицо, связанное с
потребителем
облачной услуги ,
которое пользуется
облачными услугами
Безопасность облачных вычислений
132/28
Термины и определения (ITU-T X.1601)

ITU-T X.1601
Угрозы безопасности для потребителей облачной услуги
• Потеря и утечка данных.
• Незащищенный доступ к услуге.
• Внутренние угрозы.
Угрозы безопасности для поставщиков облачной услуги.
• Несанкционированный административный доступ.
• Внутренние угрозы.
133/28

Неопределенность в
отношении ответственности
Потеря доверия
Потеря управления
Потеря конфиденциальности
Неготовность услуги
Привязка к одному
поставщику облачной услуги
Неправомерное присвоение
интеллектуальной
собственности
Потеря целостности
программного обеспечения.
Совместно используемая
среда
Несогласованность и
конфликт механизмов
защиты
Конфликт юрисдикций
Риски, связанные с
изменениями
Неудачный переход и
интеграция
Перебои в деятельности
Привязка к партнеру
Уязвимость цепи поставок
Взаимозависимость ПО
Неправомерное присвоение
интеллектуальной
собственности
Потеря целостности
программного обеспечения
ПРОБЛЕМЫ БЕЗОПАСНОСТИ
134/28
Для потребителя Для поставщика Для партнера

ITU-T X.1601
Неопределённость ответственности - отсутствие чёткого разделения
ответственности в части обеспечения БИ между потребителем и поставщиком
облачных услуг, что является причиной невыполнения некоторых мер по
защите информации.
Меры - Договор, SLA, NDA.
135/x

Information security risk management.pdf

Information security risk management.pdf

Recommended

Recommended

More Related Content

Similar to Information security risk management.pdf

Similar to Information security risk management.pdf (20)

More from trenders

More from trenders (20)

Information security risk management.pdf