Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Методики и технологии управления информационными рисками

No description
by

Julia Levina

on 10 December 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Методики и технологии управления информационными рисками

Управление информационными рисками предполагает
1) определение основных целей и задач защиты информационных активов компании

2) создание эффективной системы управления информационными рисками

3) расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса

4) применение специального инструментария оценивания и управления рисками
Качественные методики управления рисками
Разработаны на основе требований международного стандарта ISO 177992002.

Стандарт состоит из двух частей:

1) практические рекомендации по управлению информационной безопасностью, определены основные аспекты организации режима информационной безопасности в компании

2) спецификации, является инструментом для IT аудитора.
Методики и технологии управления информационными рисками
CRAMM
Управление рисками осуществляется в несколько этапов
COBRA
Представляет требования стандарта ISO 17799 в виде тематических вопросников
Количественные методики управления рисками
RA Software Tool
Основана на требованиях стандартов ISO 17799 и ISO 13335 (части 3 и 4), стандартов BSI и PD 3002, PD 3003, PD 3005.
Выполнили студентки группы 5355/2
Левина Ю. И.
Матина Е. А.
Количественные методики управления рисками позволяют:

Создавать модели информационных активов компании с точки зрения безопасности

Классифицировать и оценивать ценности активов

Составлять списки наиболее значимых угроз и уязвимостей безопасности

Ранжировать угрозы и уязвимости безопасности

Обосновывать средства и меры контроля рисков

Оценивать эффективность/стоимость различных вариантов защиты

Формализовать и автоматизировать процедуры оценивания и управления рисками
CRAMM
MethodWare
• ПО анализа и управления рисками Operational Risk Builder и Risk Advisor

• ПО управления жизненным циклом информационной технологии в соответствии с CobiT Advisor 3rd Edition (Audit) и CobiT 3rd Edition Management Advisor

• ПО для автоматизации построения разнообразных опросных листов Questionnaire Builder
Risk Advisor
Основные этапы работы:

описание контекста

определение рисков

оценка угроз и возможного ущерба

выработка управляющих воздействий

разработка плана восстановления и действий в ЧС
Risk Advisor
Описание контекста
На этапе описания контекста описывается модель взаимодействия организации с внешним миром в нескольких аспектах: стратегическом, организационном, бизнес цели, управление рисками, критерии.
Описание рисков
Задается матрица рисков, риски оцениваются по качественной шкале и разделяются на приемлемые и неприемлемые, затем выбираются управляющие воздействия.
Описание угроз
В начале формируется список угроз.
Угрозы определенным образом классифицируются.
Risk Advisor
Описание потерь
Описываются события (последствия), связанные с нарушением режима информационной безопасности.
Анализ результатов
В результате построения модели можно сформировать подробный отчет.
CRAMM
Анализ рисков с помощью CRAMM:
определение границ исследования
идентификация ресурсов и построение модели системы с точки зрения ИБ
ценность ресурсов

Критерии для оценки возможного ущерба:
ущерб репутации организации
нарушение действующего законодательства
ущерб для здоровья персонала
ущерб, связанный с разглашением персональных данных отдельных лиц
финансовые потери от разглашения информации
финансовые потери, связанные с восстановлением ресурсов
потери, связанные с невозможностью выполнения обязательств
дезорганизация деятельности


СПАСИБО ЗА
ВНИМАНИЕ!
Full transcript