2. Место Управления рисками в СМИБ
•Управление рисками – центральный процесс в Системе
Менеджмента Информационной Безопасности (СМИБ)
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующие
имеры
Управление рисками
Аудиты
Измерения, метрики Комплекс
защитных
мер
ИБ в управлении
персоналом
Управление
активами
Управление
доступом
Организация ИБ
Криптография
Физическая
безопасность
Антивирусная
защита ПО
Резервное
копирование
Логи и мониторинг
Управление сетевой
безопасностью
ИБ при разработке
ПО
ИБ при работе с
поставщиками
Управление
инцидентами
Управление
непрерывностью
бизнеса
Соответствие
требованиям
регуляторов
~114 защитных
мер
2
Базовая схема СМИБ (согласно ИСО
27001):
3. Risk Management System
RiskMS – Risk Management System, программа для управления
рисками информационной безопасности (ИБ).
Основная функциональность:
•Полный жизненный цикл управления рисками ИБ
•Поиск и фильтрация по рискам/активам
•Необходимые отчеты
•Связывание рисков, планы по обработке рисков и др.
3
4. Жизненный цикл управления рисками ИБ в
RiskMS
4
Идентификация
активов
Идентификация
угроз и
уязвимостей
Оценка и
обработка
рисков
Управление
защитными
мерами
Изменения рисков, отчетность, поиск
5. RiskMS – главный экран
5
Отдельные базы рисков
для отдельных
офисов/локаций
Дашбоард на
главном экране
Меню повторяет
этапы жизненного
цикла
7. Идентификация угроз и уязвимостей
7
Меню повторяет
этапы жизненного
цикла
Выбор актива, для
которого необходимо
определить угрозы и
уязвимости
Определени
е угроз и
уязвимостей
для актива
8. Оценка рисков
8
Дашбоард на
главном экране
Автоматическое формирование
рисков – на основе
идентифицированных ранее угроз и
уязвимостей
Аттрибуты риска,
рассчет оценки на
основе
вероятности и
уровня влияния
10. Управление защитными мерами
10
Планы по внедрению
защитных мер
Автоматическая
фильтрация – показ
рисков и активов,
связанных с данной
защитной мерой
12. Управление каждой из сущностей
системы
12
Активы, угрозы, уязвимости, защитные меры – каждую из
сущностей можно добавлять/изменять в отдельном модуле
18. Заключение
•RiskMS позволяет полностью управлять рисками ИБ, включая
базовый процесс управления активами и защитными мерами
•RiskMS полностью соответствует требованиям ИСО 27001 – у
аудиторов не возникает вопросов во время сертификации
• покрываются также некоторые специфические требования ИСО 27001
аудиторов - анализ остаточного риска, влияние CIA и др.
•RiskMS предоставляет инструменты для эффективного поиска
требуемых рисков/активов, фильтрует по требуемым параметрам
•Система отчетности имеет ряд встроенных стандартных отчетов,
также возможно применять гибкие настройки для создания
кастомизированных отчетов
18