SlideShare a Scribd company logo

Управление рисками ИБ: отдельные практические аспекты

Aleksey Lukatskiy
Aleksey Lukatskiy

The document discusses the concept of risk in information security. It provides definitions of risk from various standards organizations and looks at the elements that comprise risk, including threat likelihood and impact. The document also examines how risk can arise and how effective risk management depends on the ability to assess the factors involved in a given risk scenario.

TechnologyEducation
1 of 20
Download to read offline
Управление рисками – профанация или реальность? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/20
“Вы не можете эффективно управлять тем, что вы не можете измерить. И вы не можете измерить то, что вы не определили” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/20
Что такое риск?  Вероятная частота и вероятная величина будущих потерь Метод FAIR  Сочетание вероятности события и его последствий ГОСТ Р 51901-2002  Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005  Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/20
Что такое риск?  Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект)  Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг Хаббард InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/20
Элементы риска  Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее  Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/20
Вероятность возникновения риска Считаем самостоятельно Используем готовую статистику Собственная Чужая InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/20
Вероятность возникновения риска  У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.! Мы не знаем условий, при которых произошел инцидент Мы не имеем деталей по каждому респонденту Средняя температура по больнице  Пример: риски для АСУ ТП Небольшое число внедрений Публичной статистики нет (базы BCIT и INL не в счет) Статистики вендоров нет – «закрытые» технологии Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП Экспертных оценок в России нет InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/20
Считаем самостоятельно Сила защитной меры Уязвимость Возможности нарушителя Вероятность Наличие доступа Угроза Действие InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/20
А оцениваем ли мы риски нарушителя?  Профиль (модель) нарушителя Мотив (причина) Цель «Спонсор» (кто помогает ресурсами?) Потенциальные возможности Озабоченность косвенным ущербом Приемлемый уровень риска InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/20
Оценка потерь  Анализ риска не может быть осуществлен без оценки потерь Потеря в природе риска. Без потерь рисков не бывает  Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам  Особенности оценки потерь Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках… Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/20
Почему сложно считать?  Информационный актив может иметь разную ценность В разное время, для разных аудиторий, в разных бизнес- процессах  Потери могут принимать разные формы  Одно событие может быть причиной нескольких форм потерь  Сложные взаимосвязи между разными формами потерь  Объем потерь определяется множеством факторов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/20
Формы потерь • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акций InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/20
Нематериальные активы  Оценка последствий тесно увязана со стоимостью информационного актива Рыночная стоимость Стоимость актива в использовании Инвестиционная стоимость  3 основных подхода оценки НМА Затратный Доходный Рыночный InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/20
Качество/количество: кому доверять? Качественная оценка Количественная оценка  Отсутствие количественной оценки не позволяет Оценить адекватность затрат на снижение рисков Оценить возможность перекладывания рисков Продемонстрировать снижение рисков Сравнить текущий уровень с предыдущими значениями InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/20
Как считать?  AS/NZS 4360  NIST SP 800-3  HB 167:200X  SOMAP  EBIOS  Lanifex Risk Compass  ISO 27005 (ISO/IEC IS  Austrian IT Security 13335-2) Handbook  MAGERIT  на основе CRAMM  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3  ISO 31000 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/20
“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/20
Взглянем с точки зрения заказчика  Методики оценки рисков представляются интеграторами и консультантами …которые заинтересованы в продаже своих продуктов и услуг  Признаки хорошей методики управления рисками Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы? Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз и размер ущерба и вероятность? Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/20
Управление рисками и шаманство  Управление рисками сегодня это больше искусство, чем наука  Управление рисками похоже на шаманство Битье в бубен, бросание костей – отсутствие рационального объяснения своего выбора и «почему это работает» Заветы предков – Best Practices Интуиции и опыт хороши, но…  А какой риск приемлем?.. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/20
Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/20
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/20

Recommended

Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Customer Profiling&Targeted Advertisement
Customer Profiling&Targeted AdvertisementCustomer Profiling&Targeted Advertisement
Customer Profiling&Targeted Advertisement
2tique
 
IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?
2tique
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact AnalysisAleksey Lukatskiy
 
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovIntro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovSvetlin Nakov
 
Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520beewolf
 
IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)
Alexander Klimov
 
Grape Online Strategy Cases
Grape Online Strategy CasesGrape Online Strategy Cases
Grape Online Strategy Cases
HUNGRY BOYS Creative agency
 

Recommended

Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Customer Profiling&Targeted Advertisement
Customer Profiling&Targeted AdvertisementCustomer Profiling&Targeted Advertisement
Customer Profiling&Targeted Advertisement
2tique
 
IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?
2tique
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact AnalysisAleksey Lukatskiy
 
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovIntro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovSvetlin Nakov
 
Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520beewolf
 
IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)
Alexander Klimov
 
Grape Online Strategy Cases
Grape Online Strategy CasesGrape Online Strategy Cases
Grape Online Strategy Cases
HUNGRY BOYS Creative agency
 
Обеспечение безопасности web приложений
Обеспечение безопасности web приложенийОбеспечение безопасности web приложений
Обеспечение безопасности web приложений
SQALab
 
Cisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиCisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиguest813d253
 
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieCisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Michael Ganschuk
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
Azerbaijan Laws
 
Сегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследованияСегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследования
abramamama
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
Turkmenistan Laws
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and CrisisAleksey Lukatskiy
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
Armenia Laws
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
Azerbaijan Laws
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
Turkmenistan Laws
 
The President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - DariThe President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - Dari
Obama White House
 
The President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - PunjabiThe President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - Punjabi
Obama White House
 
норма санпин
норма санпиннорма санпин
норма санпинhelen-66
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
Turkmenistan Laws
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
Turkmenistan Laws
 
Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009
Tatsuo Kudo
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
Azerbaijan Laws
 
توافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهامتوافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهام
ahmad soodavar
 
The President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - UrduThe President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - Urdu
Obama White House
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
Azerbaijan Laws
 
Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Aleksey Lukatskiy
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurementAleksey Lukatskiy
 

More Related Content

What's hot

Обеспечение безопасности web приложений
Обеспечение безопасности web приложенийОбеспечение безопасности web приложений
Обеспечение безопасности web приложений
SQALab
 
Cisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиCisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиguest813d253
 
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieCisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Michael Ganschuk
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
Azerbaijan Laws
 
Сегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследованияСегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследования
abramamama
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
Turkmenistan Laws
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
Armenia Laws
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
Azerbaijan Laws
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
Turkmenistan Laws
 
The President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - DariThe President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - Dari
Obama White House
 
The President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - PunjabiThe President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - Punjabi
Obama White House
 
норма санпин
норма санпиннорма санпин
норма санпинhelen-66
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
Turkmenistan Laws
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
Turkmenistan Laws
 
Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009
Tatsuo Kudo
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
Azerbaijan Laws
 
توافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهامتوافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهام
ahmad soodavar
 
The President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - UrduThe President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - Urdu
Obama White House
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
Azerbaijan Laws
 

What's hot (20)

Обеспечение безопасности web приложений
Обеспечение безопасности web приложенийОбеспечение безопасности web приложений
Обеспечение безопасности web приложений
 
Cisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиCisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержки
 
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieCisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
 
Сегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследованияСегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследования
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
 
The President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - DariThe President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - Dari
 
The President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - PunjabiThe President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - Punjabi
 
норма санпин
норма санпиннорма санпин
норма санпин
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
 
Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
 
توافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهامتوافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهام
 
The President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - UrduThe President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - Urdu
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
 

Viewers also liked

Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Aleksey Lukatskiy
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurementAleksey Lukatskiy
 
Операционный риск в коммерческом банке
Операционный риск в коммерческом банкеОперационный риск в коммерческом банке
Операционный риск в коммерческом банке
Veronica Narozhnaya
 
Риск менеджмент
Риск менеджментРиск менеджмент
Риск менеджмент
ProfiMarkets - Центр подготовки трейдеров и инвесторов
 
4. курс лекций афу
4. курс лекций афу4. курс лекций афу
4. курс лекций афуGKarina707
 
4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfctomik1044
 
Модели смешанного обучения
Модели смешанного обученияМодели смешанного обучения
Модели смешанного обученияElena Tikhomirova
 
Повышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рискамиПовышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рисками
Alexei Sidorenko, CRMP
 
Lecture 9 chi_t_f
Lecture 9 chi_t_fLecture 9 chi_t_f
Lecture 9 chi_t_f
Kurbatskiy Alexey
 
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Infor-media
 
Управление рисками. Когда и как?
Управление рисками. Когда и как?Управление рисками. Когда и как?
Управление рисками. Когда и как?
Infor-media
 
Поиск статистических данных
Поиск статистических данныхПоиск статистических данных
Поиск статистических данных
libusue
 
риск. управление рисками(основа)
риск. управление рисками(основа)риск. управление рисками(основа)
риск. управление рисками(основа)
TerminalGaz
 
FRM Lecture 3
FRM Lecture 3FRM Lecture 3
FRM Lecture 3
alexandersurkov
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurementAleksey Lukatskiy
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
Aleksey Lukatskiy
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 

Viewers also liked (20)

Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
 
Операционный риск в коммерческом банке
Операционный риск в коммерческом банкеОперационный риск в коммерческом банке
Операционный риск в коммерческом банке
 
Риск менеджмент
Риск менеджментРиск менеджмент
Риск менеджмент
 
4. курс лекций афу
4. курс лекций афу4. курс лекций афу
4. курс лекций афу
 
374164
374164374164
374164
 
4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc
 
Модели смешанного обучения
Модели смешанного обученияМодели смешанного обучения
Модели смешанного обучения
 
Повышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рискамиПовышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рисками
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
 
Lecture 9 chi_t_f
Lecture 9 chi_t_fLecture 9 chi_t_f
Lecture 9 chi_t_f
 
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
 
Управление рисками. Когда и как?
Управление рисками. Когда и как?Управление рисками. Когда и как?
Управление рисками. Когда и как?
 
Поиск статистических данных
Поиск статистических данныхПоиск статистических данных
Поиск статистических данных
 
риск. управление рисками(основа)
риск. управление рисками(основа)риск. управление рисками(основа)
риск. управление рисками(основа)
 
FRM Lecture 3
FRM Lecture 3FRM Lecture 3
FRM Lecture 3
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurement
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
 

Similar to Управление рисками ИБ: отдельные практические аспекты

Background Examples From Eu Ru
Background Examples From Eu RuBackground Examples From Eu Ru
Background Examples From Eu Ru
Victor Gridnev
 
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin NakovJava For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
Svetlin Nakov
 
Minsk Jazz 190509 Templ
Minsk Jazz 190509 TemplMinsk Jazz 190509 Templ
Minsk Jazz 190509 Templsef2009
 
Учет рабочего времени сотрудников: полное руководство
Учет рабочего времени сотрудников: полное руководство Учет рабочего времени сотрудников: полное руководство
Учет рабочего времени сотрудников: полное руководство
Yaware
 
Jazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПОJazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПО
SQALab
 
Social Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex NetworksSocial Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex Networks
Oleg Nazarevych
 
Aids 14.01.2009
Aids 14.01.2009Aids 14.01.2009
Aids 14.01.2009
Oleg Zorak
 
Aids 14.01.2009
Aids 14.01.2009Aids 14.01.2009
Aids 14.01.2009
Oleg Zorak
 
Hiv
HivHiv
Hiv
aidsspidhiv
 
EU Competition Policy
EU Competition PolicyEU Competition Policy
EU Competition Policy
Ivan Grigoriev
 
Розробка уроку з англійської мови.
Розробка уроку з англійської мови.Розробка уроку з англійської мови.
Розробка уроку з англійської мови.
ssuser672c3e
 
vSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 маяvSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 мая
Anton Antich
 
норма санпин
норма санпиннорма санпин
норма санпинhelen-66
 
Fair
FairFair
Fairgtrus
 
Delivery of media content of IIS Media Services
Delivery of media content of IIS Media ServicesDelivery of media content of IIS Media Services
Delivery of media content of IIS Media Services
SQALab
 
Библейские истории: Животные
Библейские истории: ЖивотныеБиблейские истории: Животные
Библейские истории: Животные
Freekidstories
 
ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.Matweika
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
Azerbaijan Laws
 

Similar to Управление рисками ИБ: отдельные практические аспекты (20)

Beauty
BeautyBeauty
Beauty
 
Background Examples From Eu Ru
Background Examples From Eu RuBackground Examples From Eu Ru
Background Examples From Eu Ru
 
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin NakovJava For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
 
Minsk Jazz 190509 Templ
Minsk Jazz 190509 TemplMinsk Jazz 190509 Templ
Minsk Jazz 190509 Templ
 
Учет рабочего времени сотрудников: полное руководство
Учет рабочего времени сотрудников: полное руководство Учет рабочего времени сотрудников: полное руководство
Учет рабочего времени сотрудников: полное руководство
 
Jazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПОJazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПО
 
Social Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex NetworksSocial Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex Networks
 
Aids 14.01.2009
Aids 14.01.2009Aids 14.01.2009
Aids 14.01.2009
 
Aids 14.01.2009
Aids 14.01.2009Aids 14.01.2009
Aids 14.01.2009
 
Hiv
HivHiv
Hiv
 
EU Competition Policy
EU Competition PolicyEU Competition Policy
EU Competition Policy
 
Розробка уроку з англійської мови.
Розробка уроку з англійської мови.Розробка уроку з англійської мови.
Розробка уроку з англійської мови.
 
vSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 маяvSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 мая
 
L`Oreal BTL campaign
L`Oreal BTL campaignL`Oreal BTL campaign
L`Oreal BTL campaign
 
норма санпин
норма санпиннорма санпин
норма санпин
 
Fair
FairFair
Fair
 
Delivery of media content of IIS Media Services
Delivery of media content of IIS Media ServicesDelivery of media content of IIS Media Services
Delivery of media content of IIS Media Services
 
Библейские истории: Животные
Библейские истории: ЖивотныеБиблейские истории: Животные
Библейские истории: Животные
 
ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Recently uploaded

By Design, not by Accident - Agile Venture Bolzano 2024
By Design, not by Accident - Agile Venture Bolzano 2024By Design, not by Accident - Agile Venture Bolzano 2024
By Design, not by Accident - Agile Venture Bolzano 2024
Pierluigi Pugliese
 
FIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdf
FIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdfFIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdf
FIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdf
FIDO Alliance
 
Transcript: Selling digital books in 2024: Insights from industry leaders - T...
Transcript: Selling digital books in 2024: Insights from industry leaders - T...Transcript: Selling digital books in 2024: Insights from industry leaders - T...
Transcript: Selling digital books in 2024: Insights from industry leaders - T...
BookNet Canada
 
Essentials of Automations: The Art of Triggers and Actions in FME
Essentials of Automations: The Art of Triggers and Actions in FMEEssentials of Automations: The Art of Triggers and Actions in FME
Essentials of Automations: The Art of Triggers and Actions in FME
Safe Software
 
Communications Mining Series - Zero to Hero - Session 1
Communications Mining Series - Zero to Hero - Session 1Communications Mining Series - Zero to Hero - Session 1
Communications Mining Series - Zero to Hero - Session 1
DianaGray10
 
FIDO Alliance Osaka Seminar: FIDO Security Aspects.pdf
FIDO Alliance Osaka Seminar: FIDO Security Aspects.pdfFIDO Alliance Osaka Seminar: FIDO Security Aspects.pdf
FIDO Alliance Osaka Seminar: FIDO Security Aspects.pdf
FIDO Alliance
 
FIDO Alliance Osaka Seminar: Overview.pdf
FIDO Alliance Osaka Seminar: Overview.pdfFIDO Alliance Osaka Seminar: Overview.pdf
FIDO Alliance Osaka Seminar: Overview.pdf
FIDO Alliance
 
UiPath Test Automation using UiPath Test Suite series, part 4
UiPath Test Automation using UiPath Test Suite series, part 4UiPath Test Automation using UiPath Test Suite series, part 4
UiPath Test Automation using UiPath Test Suite series, part 4
DianaGray10
 
FIDO Alliance Osaka Seminar: Passkeys and the Road Ahead.pdf
FIDO Alliance Osaka Seminar: Passkeys and the Road Ahead.pdfFIDO Alliance Osaka Seminar: Passkeys and the Road Ahead.pdf
FIDO Alliance Osaka Seminar: Passkeys and the Road Ahead.pdf
FIDO Alliance
 
Climate Impact of Software Testing at Nordic Testing Days
Climate Impact of Software Testing at Nordic Testing DaysClimate Impact of Software Testing at Nordic Testing Days
Climate Impact of Software Testing at Nordic Testing Days
Kari Kakkonen
 
GraphSummit Singapore | Graphing Success: Revolutionising Organisational Stru...
GraphSummit Singapore | Graphing Success: Revolutionising Organisational Stru...GraphSummit Singapore | Graphing Success: Revolutionising Organisational Stru...
GraphSummit Singapore | Graphing Success: Revolutionising Organisational Stru...
Neo4j
 
Why You Should Replace Windows 11 with Nitrux Linux 3.5.0 for enhanced perfor...
Why You Should Replace Windows 11 with Nitrux Linux 3.5.0 for enhanced perfor...Why You Should Replace Windows 11 with Nitrux Linux 3.5.0 for enhanced perfor...
Why You Should Replace Windows 11 with Nitrux Linux 3.5.0 for enhanced perfor...
SOFTTECHHUB
 
Microsoft - Power Platform_G.Aspiotis.pdf
Microsoft - Power Platform_G.Aspiotis.pdfMicrosoft - Power Platform_G.Aspiotis.pdf
Microsoft - Power Platform_G.Aspiotis.pdf
Uni Systems S.M.S.A.
 
Secstrike : Reverse Engineering & Pwnable tools for CTF.pptx
Secstrike : Reverse Engineering & Pwnable tools for CTF.pptxSecstrike : Reverse Engineering & Pwnable tools for CTF.pptx
Secstrike : Reverse Engineering & Pwnable tools for CTF.pptx
nkrafacyberclub
 
Generative AI Deep Dive: Advancing from Proof of Concept to Production
Generative AI Deep Dive: Advancing from Proof of Concept to ProductionGenerative AI Deep Dive: Advancing from Proof of Concept to Production
Generative AI Deep Dive: Advancing from Proof of Concept to Production
Aggregage
 
Securing your Kubernetes cluster_ a step-by-step guide to success !
Securing your Kubernetes cluster_ a step-by-step guide to success !Securing your Kubernetes cluster_ a step-by-step guide to success !
Securing your Kubernetes cluster_ a step-by-step guide to success !
KatiaHIMEUR1
 
Smart TV Buyer Insights Survey 2024 by 91mobiles.pdf
Smart TV Buyer Insights Survey 2024 by 91mobiles.pdfSmart TV Buyer Insights Survey 2024 by 91mobiles.pdf
Smart TV Buyer Insights Survey 2024 by 91mobiles.pdf
91mobiles
 
GraphSummit Singapore | The Art of the Possible with Graph - Q2 2024
GraphSummit Singapore | The Art of the Possible with Graph - Q2 2024GraphSummit Singapore | The Art of the Possible with Graph - Q2 2024
GraphSummit Singapore | The Art of the Possible with Graph - Q2 2024
Neo4j
 
GraphRAG is All You need? LLM & Knowledge Graph
GraphRAG is All You need? LLM & Knowledge GraphGraphRAG is All You need? LLM & Knowledge Graph
GraphRAG is All You need? LLM & Knowledge Graph
Guy Korland
 
The Future of Platform Engineering
The Future of Platform EngineeringThe Future of Platform Engineering
The Future of Platform Engineering
Jemma Hussein Allen
 

Recently uploaded (20)

By Design, not by Accident - Agile Venture Bolzano 2024
By Design, not by Accident - Agile Venture Bolzano 2024By Design, not by Accident - Agile Venture Bolzano 2024
By Design, not by Accident - Agile Venture Bolzano 2024
 
FIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdf
FIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdfFIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdf
FIDO Alliance Osaka Seminar: The WebAuthn API and Discoverable Credentials.pdf
 
Transcript: Selling digital books in 2024: Insights from industry leaders - T...
Transcript: Selling digital books in 2024: Insights from industry leaders - T...Transcript: Selling digital books in 2024: Insights from industry leaders - T...
Transcript: Selling digital books in 2024: Insights from industry leaders - T...
 
Essentials of Automations: The Art of Triggers and Actions in FME
Essentials of Automations: The Art of Triggers and Actions in FMEEssentials of Automations: The Art of Triggers and Actions in FME
Essentials of Automations: The Art of Triggers and Actions in FME
 
Communications Mining Series - Zero to Hero - Session 1
Communications Mining Series - Zero to Hero - Session 1Communications Mining Series - Zero to Hero - Session 1
Communications Mining Series - Zero to Hero - Session 1
 
FIDO Alliance Osaka Seminar: FIDO Security Aspects.pdf
FIDO Alliance Osaka Seminar: FIDO Security Aspects.pdfFIDO Alliance Osaka Seminar: FIDO Security Aspects.pdf
FIDO Alliance Osaka Seminar: FIDO Security Aspects.pdf
 
FIDO Alliance Osaka Seminar: Overview.pdf
FIDO Alliance Osaka Seminar: Overview.pdfFIDO Alliance Osaka Seminar: Overview.pdf
FIDO Alliance Osaka Seminar: Overview.pdf
 
UiPath Test Automation using UiPath Test Suite series, part 4
UiPath Test Automation using UiPath Test Suite series, part 4UiPath Test Automation using UiPath Test Suite series, part 4
UiPath Test Automation using UiPath Test Suite series, part 4
 
FIDO Alliance Osaka Seminar: Passkeys and the Road Ahead.pdf
FIDO Alliance Osaka Seminar: Passkeys and the Road Ahead.pdfFIDO Alliance Osaka Seminar: Passkeys and the Road Ahead.pdf
FIDO Alliance Osaka Seminar: Passkeys and the Road Ahead.pdf
 
Climate Impact of Software Testing at Nordic Testing Days
Climate Impact of Software Testing at Nordic Testing DaysClimate Impact of Software Testing at Nordic Testing Days
Climate Impact of Software Testing at Nordic Testing Days
 
GraphSummit Singapore | Graphing Success: Revolutionising Organisational Stru...
GraphSummit Singapore | Graphing Success: Revolutionising Organisational Stru...GraphSummit Singapore | Graphing Success: Revolutionising Organisational Stru...
GraphSummit Singapore | Graphing Success: Revolutionising Organisational Stru...
 
Why You Should Replace Windows 11 with Nitrux Linux 3.5.0 for enhanced perfor...
Why You Should Replace Windows 11 with Nitrux Linux 3.5.0 for enhanced perfor...Why You Should Replace Windows 11 with Nitrux Linux 3.5.0 for enhanced perfor...
Why You Should Replace Windows 11 with Nitrux Linux 3.5.0 for enhanced perfor...
 
Microsoft - Power Platform_G.Aspiotis.pdf
Microsoft - Power Platform_G.Aspiotis.pdfMicrosoft - Power Platform_G.Aspiotis.pdf
Microsoft - Power Platform_G.Aspiotis.pdf
 
Secstrike : Reverse Engineering & Pwnable tools for CTF.pptx
Secstrike : Reverse Engineering & Pwnable tools for CTF.pptxSecstrike : Reverse Engineering & Pwnable tools for CTF.pptx
Secstrike : Reverse Engineering & Pwnable tools for CTF.pptx
 
Generative AI Deep Dive: Advancing from Proof of Concept to Production
Generative AI Deep Dive: Advancing from Proof of Concept to ProductionGenerative AI Deep Dive: Advancing from Proof of Concept to Production
Generative AI Deep Dive: Advancing from Proof of Concept to Production
 
Securing your Kubernetes cluster_ a step-by-step guide to success !
Securing your Kubernetes cluster_ a step-by-step guide to success !Securing your Kubernetes cluster_ a step-by-step guide to success !
Securing your Kubernetes cluster_ a step-by-step guide to success !
 
Smart TV Buyer Insights Survey 2024 by 91mobiles.pdf
Smart TV Buyer Insights Survey 2024 by 91mobiles.pdfSmart TV Buyer Insights Survey 2024 by 91mobiles.pdf
Smart TV Buyer Insights Survey 2024 by 91mobiles.pdf
 
GraphSummit Singapore | The Art of the Possible with Graph - Q2 2024
GraphSummit Singapore | The Art of the Possible with Graph - Q2 2024GraphSummit Singapore | The Art of the Possible with Graph - Q2 2024
GraphSummit Singapore | The Art of the Possible with Graph - Q2 2024
 
GraphRAG is All You need? LLM & Knowledge Graph
GraphRAG is All You need? LLM & Knowledge GraphGraphRAG is All You need? LLM & Knowledge Graph
GraphRAG is All You need? LLM & Knowledge Graph
 
The Future of Platform Engineering
The Future of Platform EngineeringThe Future of Platform Engineering
The Future of Platform Engineering
 

Управление рисками ИБ: отдельные практические аспекты

  • 1. Управление рисками – профанация или реальность? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/20
  • 2. “Вы не можете эффективно управлять тем, что вы не можете измерить. И вы не можете измерить то, что вы не определили” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/20
  • 3. Что такое риск?  Вероятная частота и вероятная величина будущих потерь Метод FAIR  Сочетание вероятности события и его последствий ГОСТ Р 51901-2002  Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005  Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/20
  • 4. Что такое риск?  Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект)  Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг Хаббард InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/20
  • 5. Элементы риска  Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее  Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/20
  • 6. Вероятность возникновения риска Считаем самостоятельно Используем готовую статистику Собственная Чужая InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/20
  • 7. Вероятность возникновения риска  У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.! Мы не знаем условий, при которых произошел инцидент Мы не имеем деталей по каждому респонденту Средняя температура по больнице  Пример: риски для АСУ ТП Небольшое число внедрений Публичной статистики нет (базы BCIT и INL не в счет) Статистики вендоров нет – «закрытые» технологии Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП Экспертных оценок в России нет InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/20
  • 8. Считаем самостоятельно Сила защитной меры Уязвимость Возможности нарушителя Вероятность Наличие доступа Угроза Действие InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/20
  • 9. А оцениваем ли мы риски нарушителя?  Профиль (модель) нарушителя Мотив (причина) Цель «Спонсор» (кто помогает ресурсами?) Потенциальные возможности Озабоченность косвенным ущербом Приемлемый уровень риска InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/20
  • 10. Оценка потерь  Анализ риска не может быть осуществлен без оценки потерь Потеря в природе риска. Без потерь рисков не бывает  Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам  Особенности оценки потерь Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках… Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/20
  • 11. Почему сложно считать?  Информационный актив может иметь разную ценность В разное время, для разных аудиторий, в разных бизнес- процессах  Потери могут принимать разные формы  Одно событие может быть причиной нескольких форм потерь  Сложные взаимосвязи между разными формами потерь  Объем потерь определяется множеством факторов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/20
  • 12. Формы потерь • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акций InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/20
  • 13. Нематериальные активы  Оценка последствий тесно увязана со стоимостью информационного актива Рыночная стоимость Стоимость актива в использовании Инвестиционная стоимость  3 основных подхода оценки НМА Затратный Доходный Рыночный InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/20
  • 14. Качество/количество: кому доверять? Качественная оценка Количественная оценка  Отсутствие количественной оценки не позволяет Оценить адекватность затрат на снижение рисков Оценить возможность перекладывания рисков Продемонстрировать снижение рисков Сравнить текущий уровень с предыдущими значениями InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/20
  • 15. Как считать?  AS/NZS 4360  NIST SP 800-3  HB 167:200X  SOMAP  EBIOS  Lanifex Risk Compass  ISO 27005 (ISO/IEC IS  Austrian IT Security 13335-2) Handbook  MAGERIT  на основе CRAMM  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3  ISO 31000 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/20
  • 16. “Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/20
  • 17. Взглянем с точки зрения заказчика  Методики оценки рисков представляются интеграторами и консультантами …которые заинтересованы в продаже своих продуктов и услуг  Признаки хорошей методики управления рисками Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы? Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз и размер ущерба и вероятность? Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/20
  • 18. Управление рисками и шаманство  Управление рисками сегодня это больше искусство, чем наука  Управление рисками похоже на шаманство Битье в бубен, бросание костей – отсутствие рационального объяснения своего выбора и «почему это работает» Заветы предков – Best Practices Интуиции и опыт хороши, но…  А какой риск приемлем?.. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/20
  • 19. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/20
  • 20. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/20