Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
В постоянно развивающемся мире ИБ, где цифровая сфера устойчива, как карточный домик во время урагана, появился новаторский документ под названием "Доктрина киберзащиты, которая управляет рисками: полное прикладное руководство по организационной киберзащите", предположительно написанный израильским Сунь Цзы из эпохи цифровых технологий.
Доктрина, являющаяся шедевром кибернетической мудрости, делит свои стратегии оценки рисков и управления ими на два направления, вероятно, потому что одно из них является слишком уже не модно. Эти направления изобретательно основаны на потенциальном ущербе для организации – новой концепции, для воплощения которой, должно быть, потребовалось как минимум несколько сеансов мозгового штурма за чашкой кофе.
Как принято сегодня говорить, доктрина является ярким примером приверженности индустрии киберзащиты … к тому, чтобы как можно подробнее изложить очевидное. Она убеждает нас в том, что перед лицом киберугроз мы всегда можем положиться на объёмные документы, которые защитят нас.
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
Вычисление, визуализация
и анализ метрик защищенности защищенности
для мониторинга мониторинга безопасности безопасности
и управления управления инцидентами инцидентами
в SIEM-системах
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
Similar to Управление информационной безопасностью (20)
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Вячеслав Аксёнов
В книгу включены презентации, материалы для практических занятий, примеры и формы документов моего авторского курса «Оценка и управления рисками информационной безопасности», который преподается с 2017 года
Краткая презентация первого модуля авторского курса «Разработка, внедрение и аудит системы менеджмента информационной безопасности в соответствии с требованиями ISO/IEC 27001» https://edu.softline.by/courses/isms.html
Техническая защита персональных данных в Беларуси (Версия 2)Вячеслав Аксёнов
Требования законодательства по защите персональных данных в Беларуси и их взаимосвязь. С гиперссылками на тексты нормативных правовых актов.
+ Добавлен раздел про ответственность за нарушения законодательства.
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
Дополнительные материалы к докладу на конференции «VMUG #7 Belarus».
Требования НПА и ТНПА Республики Беларусь в области информационной безопасности.
Уголовная и административная ответственность за нарушения в области защиты информации.
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
G-Clouds Architecture and Security (fragment of course materials)
Управление информационной безопасностью
1. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
Основы процессного подхода в области
информационной безопасности.
Стандарты и структуры построения систем
информационной безопасности.
Поведение оценки и разработка планов
обработки рисков информационной безопасности.
3. Процесс - это совокупность взаимосвязанных и
взаимодействующих видов деятельности, которые
преобразуют входы в выходы
Процессный подход - концепция управления, которая
рассматривает всю деятельность организации как набор
процессов.
Управление организацией – управление процессами.
Важной составляющей процесса, является систематичность
действий. Действия процесса должны быть повторяющимися,
а не случайными.
3/91
Определения
ПРОЦЕССНЫЙ ПОДХОД
5. Вход
Выход
Ресурсы
Владелец
Потребители и
поставщики
Показатели
5/91
Ключевые элементы процесса
ПРОЦЕССНЫЙ ПОДХОД
6. Координация действий различных подразделений в рамках процесса;
Ориентация на результат процесса;
Повышение результативности и эффективности работы организации;
Прозрачность действий по достижению результата;
Повышение предсказуемости результатов;
Выявление возможностей для целенаправленного улучшения процессов;
Устранение барьеров между функциональными подразделениями;
Сокращение лишних вертикальных взаимодействий;
Исключение невостребованных процессов;
Сокращение временных и материальных затрат.
6/91
Преимущества
ПРОЦЕССНЫЙ ПОДХОД
8. СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения
безопасности. Системы менеджмента информационной безопасности.
Требования».
СТБ 34.101.41-2013 «Информационные технологии и безопасность.
Обеспечение информационной безопасности банков Республики Беларусь.
Общие положения».
ТКП 483-2013 «Информационные технологии и безопасность. Безопасная
эксплуатация и надежное функционирование критически важных объектов
информатизации. Общие требования».
«Методические рекомендации по обеспечению информационной
безопасности. Система менеджмента информационной безопасности»
http://oac.gov.by/files/files/kvoi/metod_recomend.docx.
8/91
Республика Беларусь
СТРУКТУРЫ СИСТЕМЫ ИБ
9. Область применения
Этапы внедрения СМИБ
Разработка (планирование) СМИБ
Внедрение СМИБ
Проверка СМИБ
Совершенствование СМИБ
Требования, предъявляемые к СМИБ
Требования к локальным нормативным правовым
актам организации
Требования к организации информационной
безопасности
Требования к управлению активами
Требования, связанные с персоналом
Требования к физической защите
Требования к функционированию средств обработки
информации, информационных систем и сетей
Требования к контролю доступа к СОИИСС
Требования к разработке, внедрению и обслуживанию
информационных систем
Требования к управлению инцидентами информационной
безопасности
Требования к информационной безопасности при
управлении непрерывностью основных процессов
организации
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
10. «Информационные технологии и безопасность.
Обеспечение информационной безопасности
банков Республики Беларусь. Общие
положения»
Распространяется на банки РБ.
Устанавливает положения, концептуальную
схему, модели угроз и нарушителей ИБ.
Предназначен для применения при
построении, проверке и оценке систем ИБ и
систем менеджмента ИБ банков.
10/91
СТБ 34.101.41
СТРУКТУРЫ СИСТЕМЫ ИБ
11. «Информационные технологии. Методы
обеспечения безопасности. Системы
менеджмента информационной безопасности.
Требования»
Устанавливает требования к разработке,
внедрению, поддержанию и постоянному
улучшению СМИБ в контексте организации.
Включает требования по оценке и
обработке рисков ИБ в соответствии с
потребностями организации.
Носит общий характер и предназначен для
применения всеми организациями,
независимо от типа, размера или характера
деятельности.
11/91
СТБ ISO/IEC 27001
СТРУКТУРЫ СИСТЕМЫ ИБ
14. Система менеджмента информационной безопасности (СМИБ) -
представляет модель для создания, внедрения,
функционирования, мониторинга, анализа, поддержки и
улучшения защиты информационных активов для достижения
деловых целей, основанную на оценке риска и на принятии
уровней риска организации, разработанную для эффективного
рассмотрения и управления рисками.
14/91
ISO/IEC 27001
СИСТЕМА МЕНЕДЖМЕНТА ИБ
15. ISO 27001 обеспечивает модель для создания, внедрения,
эксплуатации, мониторинга, анализа, поддержания и
совершенствования менеджмента информационной безопасности.
Принятие СМИБ должно быть стратегическим решением для
организации.
На разработку и реализацию СМИБ организации влияют бизнес
потребности и цели, требования безопасности, применяемые
процессы, размер и структура организации.
Реализация СМИБ должна масштабироваться и изменятся в
соответствии с потребностями организации.
15/91
ISO/IEC 27001
СИСТЕМА МЕНЕДЖМЕНТА ИБ
ISO/IEC 27001
16. 16/91
Структура стандарта СТБ ISO/IEC 27001-2016
СИСТЕМА МЕНЕДЖМЕНТА ИБ
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Операционная деятельность
9. Оценивание пригодности
10. Улучшение
Приложение А – Перечень целей управления и средств управления (меры ЗИ)
PLAN
DO
CHECK
ACT
17. СИСТЕМА МЕНЕДЖМЕНТА ИБ
Структура стандарта СТБ ISO/IEC 27002 (меры)
ISO/IEC 27002
ISO 27002 устанавливает руководящие и общие принципы
начинания, реализации, поддержания в рабочем состоянии и
улучшения управления защитой информации в организации.
Цели, очерченные ISO 27002, дают общие руководящие
принципы по обычно принимаемым целям управления защитой
информации.
Цели и средства управления ISO 27002 разработаны для
реализации, осуществляемой с целью выполнить требования,
выявленные оценкой рисков.
ISO 27002 может служить в качестве практического руководства
по разработке организационных стандартов защиты и практик
эффективного управления защитой.
18. включает в себя политики, процедуры, руководства и соответствующие
ресурсы и задачи, коллегиально управляемых организацией в целях защиты
ее информационных активов.
представляет собой системный подход к разработке, внедрению,
функционированию, мониторингу, анализу, обеспечению и улучшению ИБ
организации для достижения бизнес-целей.
основывается на оценке рисков и уровнях приемлемости рисков организации.
18/91
Система менеджмента ИБ (СМИБ)
УПРАВЛЕНИЕ ИБ
19. 19/91
4. Контекст организации
ISO/IEC 27001:2013
4.4 Система менеджмента информационной безопасности
4.3 Определение области применения системы менеджмента информационной безопасности
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.1 Понимание организации и ее контекста
21. 21/91
6. Планирование
ISO/IEC 27001:2013
6.2 Цели информационной безопасности и
планирование их достижения
6.1 Действия по рассмотрению рисков и возможностей
6.1.1 Общие требования
6.1.2 Оценка риска
информационной безопасности
6.1.3 Обработка рисков
информационной безопасности
22. 22/91
7. Поддержка
ISO/IEC 27001:2013
7.1 Ресурсы
7.2 Компетентность
7.3 Осведомленность
7.4 Коммуникации
7.5 Документированная информация
• 7.5.1 Общие положения
• 7.5.2 Создание и обновление
• 7.5.3 Управление документированной информацией
23. 23/91
8. Операционная деятельность
ISO/IEC 27001:2013
8.1
Планирование и
управление
деятельностью
8.2 Оценка
рисков
информационной
безопасности
8.3 Обработка
риска
информационной
безопасности
26. 26/91
Приложение А
ISO/IEC 27001:2013
А.5 Политики
информационной
безопасности
А.6 Организация
информационной
безопасности
А.7 Безопасность,
связанная с
персоналом
А.8 Управление
активами
А.9 Управление
доступом
А.10 Криптография
А.11 Физическая
безопасность и
защита от
окружающей среды
А.12 Операционная
деятельность по
обеспечению
безопасности
А.13 Безопасность
сети
А.14 Приобретение,
разработка и
сопровождение
систем
А.15
Взаимоотношения с
поставщиками
А.16 Управление
инцидентами в
области
информационной
безопасности
А.17 Аспекты
информационной
безопасности при
управлении
непрерывностью
бизнеса
А.18 Соответствие
27. 27/91
Приложение А
ISO/IEC 27001:2013
А.5 Политики
информационной
безопасности
А.5.1 Направляющая
роль руководства в
сфере
информационной
безопасности
А.6 Организация
информационной
безопасности
А.6.1 Внутренняя
организация
А.6.2 Мобильные
устройства и
удаленная работа
А.7 Безопасность,
связанная с
персоналом
А.7.1 До приема на
работу
А.7.2 Во время работы
А.7.3 Увольнение и
изменение должности
А.8 Управление
активами
А.8.1 Ответственность
за активы
А.8.2 Классификация
информации
А.8.3 Обращение с
носителями
информации
А.9 Управление
доступом
А.9.1 Бизнес-
требования к
управлению доступом
А.9.2 Управление
доступом
пользователей
А.9.3 Ответственность
пользователя
А.9.4 Управление
доступом к системам и
приложениям
А.10 Криптография
А.10.1
Криптографические
средства управления
А.11 Физическая
безопасность и защита
от окружающей среды
А.11.1 Зоны
безопасности
А.11.2 Оборудование
А.12 Операционная
деятельность по
обеспечению
безопасности
А.12.1 Рабочие
процедуры и
ответственность
А.12.2 Защита от
вредоносных
программ
А.12.3 Резервное
копирование
А.12.4 Регистрация и
мониторинг
А.12.5 Управление
операционным
программным
обеспечением
А.12.6 Управление
технической
уязвимостью
А.12.7 Аспекты аудита
информационных
систем
А.13 Безопасность
сети
А.13.1 Управление
безопасностью сети
А.13.2 Передача
информации
А.14 Приобретение,
разработка и
сопровождение
систем
А.14.1 Требования к
безопасности
информационных
систем
А.14.2 Безопасность
процессов разработки
и поддержки
А.14.3 Данные для
тестирования
А.15
Взаимоотношения с
поставщиками
А.15.1
Информационная
безопасность при
взаимоотношениях с
поставщиками
А.15.2 Управление
предоставлением
услуг поставщиком
А.16 Управление
инцидентами в
области
информационной
безопасности
А.16.1 Управление
инцидентами в
области
информационной
безопасности и
улучшения
А.17 Аспекты
информационной
безопасности при
управлении
непрерывностью
бизнеса
А.17.1 Непрерывность
информационной
безопасности
А.17.2 Избыточность А.18 Соответствие
А.18.1 Соответствие
законодательным и
договорным
требованиям
А.18.2 Анализ
информационной
безопасности
28. 28/91
А.5 Политики информационной безопасности
Приложение А - ISO/IEC 27001:2013
А.5.1 Направляющая роль руководства в сфере
информационной безопасности
29. 29/91
А.6 Организация информационной безопасности
Приложение А - ISO/IEC 27001:2013
А.6.1 Внутренняя организация
А.6.2 Мобильные устройства и удаленная работа
30. 30/91
А.7 Безопасность, связанная с персоналом
Приложение А - ISO/IEC 27001:2013
А.7.1 До
приема на
работу
А.7.2 Во время
работы
А.7.3
Увольнение и
изменение
должности
31. 31/91
А.8 Управление активами
Приложение А - ISO/IEC 27001:2013
А.8.1
Ответственность
за активы
А.8.2
Классификация
информации
А.8.3 Обращение
с носителями
информации
32. 32/91
А.9 Управление доступом
Приложение А - ISO/IEC 27001:2013
А.9.1 Бизнес-
требования к
управлению
доступом
А.9.2 Управление
доступом
пользователей
А.9.3
Ответственность
пользователя
33. 33/91
А.9 Управление доступом
Приложение А - ISO/IEC 27001:2013
А.9.1 Бизнес-требования к управлению доступом
А.9.2 Управление доступом пользователей
А.9.3 Ответственность пользователя
А.9.4 Управление доступом к системам и приложениям
35. 35/91
А.11 Физическая безопасность и защита от окружающей среды
Приложение А - ISO/IEC 27001:2013
А.11.1 Зоны безопасности
А.11.2 Оборудование
36. 36/91
А.12 Операционная деятельность по обеспечению безопасности
Приложение А - ISO/IEC 27001:2013
А.12.1 Рабочие
процедуры и
ответственность
А.12.2 Защита от
вредоносных
программ
А.12.3 Резервное
копирование
А.12.4 Регистрация
и мониторинг
А.12.5 Управление
операционным
программным
обеспечением
А.12.6 Управление
технической
уязвимостью
А.12.7 Аспекты
аудита
информационных
систем
38. 38/91
А.14 Приобретение, разработка и сопровождение систем
Приложение А - ISO/IEC 27001:2013
А.14.1 Требования
к безопасности
информационных
систем
А.14.2
Безопасность
процессов
разработки и
поддержки
А.14.3 Данные для
тестирования
39. 39/91
А.15 Взаимоотношения с поставщиками
Приложение А - ISO/IEC 27001:2013
А.15.1 Информационная безопасность при
взаимоотношениях с поставщиками
А.15.2 Управление предоставлением услуг поставщиком
40. 40/91
А.16 Управление инцидентами в области информационной
безопасности
Приложение А - ISO/IEC 27001:2013
А.16.1 Управление инцидентами в области
информационной безопасности и улучшения
41. 41/91
А.17 Аспекты информационной безопасности при управлении
непрерывностью бизнеса
Приложение А - ISO/IEC 27001:2013
А.17.1 Непрерывность информационной безопасности
А.17.2 Избыточность
42. 42/91
А.18 Соответствие
Приложение А - ISO/IEC 27001:2013
А.18.1 Соответствие законодательным и договорным
требованиям
А.18.2 Анализ информационной безопасности
43. ПОВЕДЕНИЕ ОЦЕНКИ И РАЗРАБОТКА ПЛАНОВ
ОБРАБОТКИ РИСКОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
44. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ
Когда безопасности достаточно?
• Сколько вы потеряете?
• Какой уровень (процент)
воздействия?
• Насколько вы уязвимы?
• Как риск может быть
снижен?
Вначале
мы
должны
понимать
риск
45. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ
Еще раз вспомним
Шаг 3 – Оценка защитных мер
Определить потенциальные защитные меры и их стоимость
Шаг 2 – Оценка угроз и уязвимостей
Фаза 1 – Запустить автоматизированное средство оценки уязвимостей Фаза 2 – Проанализировать результаты
Шаг 1 – Инвентаризация, Определение, Требования
Фаза 1 – Идентифицировать критичные бизнес-
процессы
Фаза 2 – создать перечень активов
используемых в определенных бизнес-
процессах
Фаза 3 – Определить ценность данных активов
46. ОЦЕНКА И ОБРАБОТКА РИСКОВ ИБ
Еще раз вспомним
Шаг 5 – Мониторинг
Постоянный анализ новых угроз и изменения мер при необходимости. Значительные организационные
изменения должны привести к новой оценке рисков.
Шаг 4 – Коммуникация
Довести результаты соответствующим заинтересованным сторонам
Шаг 3 – Анализ, Решение/Обработка, Документирование
Фаза 1 – Проанализировать
перечень мер для каждой угрозы
Фаза 2 – выбрать наилучшие
меры для каждой угрозы
Фаза 3 – Документировать
процесс и результаты оценки
47. ОЦЕНКА РИСКОВ ИБ
СТБ 34.101.41
В банке должна быть принята / корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ.
В банке должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.
Методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ банка должна определять способ и порядок качественного или
количественного оценивания риска нарушения ИБ.
Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их
выполнения.
Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия
СОИБ.
В банке рекомендуется создать и поддерживать в актуальном состоянии единый информационный ресурс (базу данных), содержащий
информацию об инцидентах ИБ.
Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в
банке. Результатом выполнения указанной процедуры является документально оформленный перечень недопустимых рисков нарушения ИБ.
В банке должны быть документально определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков
нарушения ИБ/подхода к оценке рисков нарушения ИБ, и назначены ответственные за выполнение указанных ролей.
В банке должны быть документально определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных
ролей.
48. ОБРАБОТКА РИСКОВ ИБ
СТБ 34.101.41
По каждому из рисков нарушения ИБ, который является недопустимым, должен быть
документально определен план, определяющий один из возможных способов его обработки:
•перенос риска на сторонние организации (например, путем страхования указанного риска);
•уход от риска (например, путем отказа от деятельности, выполнение которой приводит к по-явлению риска);
•осознанное принятие риска;
•формирование требований ИБ, снижающих риск нарушения ИБ до допустимого уровня и формирования планов по
их реализации.
Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы
ИБ либо лицом, отвечающим в банке за обеспечение ИБ, и утверждены руководством.
Планы реализаций требований ИБ должны содержать последовательность и сроки реа-
лизации и внедрения организационных, технических и иных защитных мер.
В банке должны быть документально определены роли по разработке планов обработки
рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.