Energy Consulting/Integration

Информационно-технологические риски Компании

Голов Андрей, CISSP, CISA

Руководитель направления ИБ

Терминология

Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации

Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Риск = F (источник угрозы, уязвимость, угроза, последствия)

Управление рисками – оптимальное управление ресурсами для достижения адекватного инвестирования в защитные механизмы для минимизации риска.

Связь рисков и бизнес стратегии Компании

Угроза

Вероятность

Ущерб

Риски Политика Средства контроля

Тесты

Бизнес стратегия

ИТ стратегия Текущая архитектура

Модернизированная архитектура

Архитектура ИБ

ИТ ресурсы

информирует

Информирует о рисках

Выдвигает требования к архитектуре

требует

Базируется на ИТ ресурсах

информирует

Определяет конфигурацию ИТ ресурсов

Определяет эффективность

информируют

Удовлетворение политике

Связь системы управления ИТ и рисков

ИТ деятельность: деятельность по разработке, предоставлению и поддержке ИТ услуги, соответствующих требованиям, с учетом присущих ИТ рисков.

Основные характеристики ИТ услуги: функциональность, доступность, производительность, безопасность, непрерывность, стоимость.

Характеристики ИТ услуги являются основой построения системы рисков и проведения оценки уровня их допустимости.

ИТ деятельность и управление ИТ рассматриваются как система взаимосвязанных процессов жизненного цикла требуемых Компании ИТ услуг и процессов управления, необходимых для обеспечения полноты, своевременности и определяемых соответствующими характеристиками уровня ИТ услуг.

Риск – недостижение цели ИТ деятельности в ее параметрах

На следующих этапах управления рисками:

1. Определение областей рисков.

Проблема инвентаризации ресурсов и оценка их стоимости

Решение – программное обеспечение Altiris, Microsoft и т.п. +

Взаимодействие с бизнес подразделениями, владельцами ресурсов

2. Определение существующих угроз и уязвимостей ИТ систем

Проблема в построении модели угроз, проблема с экспертной оценкой уязвимостей ИТ систем, проблемы с оценкой вероятности реализации угрозы

Решение – использование существующих моделей DSECCT, OWASP («Open Web Application Security Project»), DREAD Threat Model, бесплатный программный продукт Microsoft threat modelling tool, использование методик и стандартов анализа риска, привлечение внешних консультантов.

Риск Ценность ресурса

Уязвимость Угроза= Х Х

Проблемы проведения анализа рисков

Управление цепочкой технологических рисков

Рабочее место

Серверная ферма, хранилища данных

Внутренняя сеть, LAN Глобальные

сети, WAN

Мобильные пользователи

Бизнес процессы

ИТ процессы

ИТ услуги

Управление инфраструктурными

рисками и рисками ИБ

Управление рисками качества ИТ услуг / системы управления

Управление проектными рисками ИТ услуг

Управление стратегическими рисками

Инструменты управления рисками

Надежная система управления ИТ деятельностью Компании – основной инструмент по снижению рисков до приемлемого уровня

КОНТАКТЫ:

115093, Москва, Россия, Павловская ул. д. 7Тел: + 7 (495) 980-9081

Факс: + 7 (495) 980-9082e-mail: info@energy-consulting.ru

www.ec-group.ru

КОНТАКТЫ

Центральный офис115093, Москва, ул. Павловская, 7 Телефон: +7 (495) 980-9081 Факс: +7 (495) 980-9082 E-mail: info@energy-consulting.ru

Филиал в Санкт-Петербурге199106, Санкт-Петербург, Васильевский остров, Большой проспект, д. 80Телефон: +7 (812) 3321314Телефон/факс: +7 (812) 3322029

Офис в Казани420012, Казань, ул. Достоевского, д. 18/75Телефон/факс: +7 (843) 5265150

www.ec-group.ru