Energy Consulting/ Integration

1. Energy Consulting/ Integration Информационно-технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ

2. Терминология Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности. Риск = F (источник угрозы, уязвимость, угроза, последствия) Управление рисками – оптимальное управление ресурсами для достижения адекватного инвестирования в защитные механизмы для минимизации риска.

3. Связь рисков и бизнес стратегии Компании Угроза Вероятность Ущерб Определяет эффективность информируют Средства контроля требует Тесты Риски Политика Базируется на ИТ ресурсах ИТ ресурсы Информирует о рисках Выдвигает требования к архитектуре Определяет конфигурацию ИТ ресурсов Удовлетворение политике информирует информирует Текущая архитектура Модернизированная архитектура Бизнес стратегия ИТ стратегия Архитектура ИБ

4. Связь системы управления ИТ и рисков ИТ деятельность: деятельность по разработке, предоставлению и поддержке ИТ услуги, соответствующих требованиям, с учетом присущих ИТ рисков. Основные характеристики ИТ услуги: функциональность, доступность, производительность, безопасность, непрерывность, стоимость. Характеристики ИТ услуги являются основой построения системы рисков и проведения оценки уровня их допустимости. ИТ деятельность и управление ИТ рассматриваются как система взаимосвязанных процессов жизненного цикла требуемых Компании ИТ услуг и процессов управления, необходимых для обеспечения полноты, своевременности и определяемых соответствующими характеристиками уровня ИТ услуг. Риск – недостижение цели ИТ деятельности в ее параметрах

5. Проблемы проведения анализа рисков Х Х = Ценность ресурса Риск Уязвимость Угроза На следующих этапах управления рисками: 1. Определение областей рисков. • Проблема инвентаризации ресурсов и оценка их стоимости • Решение – программное обеспечение Altiris, Microsoft и т.п. + • Взаимодействие с бизнес подразделениями, владельцами ресурсов • 2. Определение существующих угроз и уязвимостей ИТ систем • Проблема в построении модели угроз, проблема с экспертной оценкой уязвимостей ИТ систем, проблемы с оценкой вероятности реализации угрозы • Решение – использование существующих моделей DSECCT, OWASP («Open Web Application Security Project»), DREAD Threat Model, бесплатный программный продукт Microsoft threat modelling tool, использование методик и стандартов анализа риска, привлечение внешних консультантов.

6. Управление цепочкой технологических рисков Управление рисками качества ИТ услуг / системы управления Управление проектными рисками ИТ услуг Бизнес процессы Управление стратегическими рисками ИТ процессы ИТ услуги Управление инфраструктурными рисками и рисками ИБ Мобильные пользователи Внутренняя сеть, LAN Серверная ферма, хранилища данных Глобальные сети, WAN Рабочее место

7. Инструменты управления рисками Надежная система управления ИТ деятельностью Компании – основной инструмент по снижению рисков до приемлемого уровня

8. КОНТАКТЫ • Центральный офис • 115093, Москва, ул. Павловская, 7 • Телефон: +7 (495) 980-9081 • Факс: +7 (495) 980-9082 • E-mail: info@energy-consulting.ru • Филиал в Санкт-Петербурге • 199106, Санкт-Петербург, Васильевский остров, • Большой проспект, д. 80 • Телефон: +7 (812) 3321314 • Телефон/факс: +7 (812) 3322029 • Офис в Казани • 420012, Казань, ул. Достоевского, д. 18/75 • Телефон/факс: +7 (843) 5265150 • www.ec-group.ru • КОНТАКТЫ: • 115093, Москва, Россия, Павловская ул. д. 7 • Тел: + 7 (495) 980-9081 • Факс: + 7 (495) 980-9082 • e-mail: info@energy-consulting.ru • www.ec-group.ru