Управление рисками в Системе менеджмента информационной безопасности.

1. Risk Management System
(RiskMS)
2017 UGIS Group

2. Место Управления рисками в СМИБ
•Управление рисками – центральный процесс в Системе
Менеджмента Информационной Безопасности (СМИБ)
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующие
имеры
Управление рисками
Аудиты
Измерения, метрики Комплекс
защитных
мер
ИБ в управлении
персоналом
Управление
активами
Управление
доступом
Организация ИБ
Криптография
Физическая
безопасность
Антивирусная
защита ПО
Резервное
копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке
ПО
ИБ при работе с
поставщиками
Управление
инцидентами
Управление
непрерывностью
бизнеса
Соответствие
требованиям
регуляторов
~114 защитных
мер
2
Базовая схема СМИБ (согласно ИСО
27001):

3. Risk Management System
RiskMS – Risk Management System, программа для управления
рисками информационной безопасности (ИБ).
Основная функциональность:
•Полный жизненный цикл управления рисками ИБ
•Поиск и фильтрация по рискам/активам
•Необходимые отчеты
•Связывание рисков, планы по обработке рисков и др.
3

4. Жизненный цикл управления рисками ИБ в
RiskMS
4
Идентификация
активов
Идентификация
угроз и
уязвимостей
Оценка и
обработка
рисков
Управление
защитными
мерами
Изменения рисков, отчетность, поиск

5. RiskMS – главный экран
5
Отдельные базы рисков
для отдельных
офисов/локаций
Дашбоард на
главном экране
Меню повторяет
этапы жизненного
цикла

6. Идентификация активов
6
Автоматически
й рассчет
уровня актива
Ссылка на базу с
деталями
Владелец
актива

7. Идентификация угроз и уязвимостей
7
Меню повторяет
этапы жизненного
цикла
Выбор актива, для
которого необходимо
определить угрозы и
уязвимости
Определени
е угроз и
уязвимостей
для актива

8. Оценка рисков
8
Дашбоард на
главном экране
Автоматическое формирование
рисков – на основе
идентифицированных ранее угроз и
уязвимостей
Аттрибуты риска,
рассчет оценки на
основе
вероятности и
уровня влияния

9. Обработка рисков
9
Выбор защитных
мер ИСО 27002
План по обработке риска
Текущий статус
риска

10. Управление защитными мерами
10
Планы по внедрению
защитных мер
Автоматическая
фильтрация – показ
рисков и активов,
связанных с данной
защитной мерой

11. Автоматическая генерация SoA (заявление о
применимости)
11

12. Управление каждой из сущностей
системы
12
Активы, угрозы, уязвимости, защитные меры – каждую из
сущностей можно добавлять/изменять в отдельном модуле

13. Система отчетности
13
Гибкие настройки для
создания требуемых
отчетов

14. Система отчетности
14
Детальный отчет по
обработке рисков
(risk treatment plan)
Анализ изменений в
рисках

15. Система отчетности
15
Возможность
добавлять риски
в отчет на любом
из этапов
Список рисков, по
которым требуются
работы

16. Фильтрация и поиск
16
Возможность гибкой фильтрации
для эффективного поиска

17. Связанные риски
17
Возможность ссылаться на другие
риски – облегчает работу со
связанными по смыслу рисками
(имеющими одинаковый набор
защитных мер)

18. Заключение
•RiskMS позволяет полностью управлять рисками ИБ, включая
базовый процесс управления активами и защитными мерами
•RiskMS полностью соответствует требованиям ИСО 27001 – у
аудиторов не возникает вопросов во время сертификации
• покрываются также некоторые специфические требования ИСО 27001
аудиторов - анализ остаточного риска, влияние CIA и др.
•RiskMS предоставляет инструменты для эффективного поиска
требуемых рисков/активов, фильтрует по требуемым параметрам
•Система отчетности имеет ряд встроенных стандартных отчетов,
также возможно применять гибкие настройки для создания
кастомизированных отчетов
18