1 / 8

Energy Consulting/ Integration

Energy Consulting/ Integration. Информационно-технологические риски Компании. Голов Андрей, CISSP, CISA Руководитель направления ИБ. Терминология.

Download Presentation

Energy Consulting/ Integration

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Energy Consulting/ Integration Информационно-технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ

  2. Терминология Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности. Риск = F (источник угрозы, уязвимость, угроза, последствия) Управление рисками – оптимальное управление ресурсами для достижения адекватного инвестирования в защитные механизмы для минимизации риска.

  3. Связь рисков и бизнес стратегии Компании Угроза Вероятность Ущерб Определяет эффективность информируют Средства контроля требует Тесты Риски Политика Базируется на ИТ ресурсах ИТ ресурсы Информирует о рисках Выдвигает требования к архитектуре Определяет конфигурацию ИТ ресурсов Удовлетворение политике информирует информирует Текущая архитектура Модернизированная архитектура Бизнес стратегия ИТ стратегия Архитектура ИБ

  4. Связь системы управления ИТ и рисков ИТ деятельность: деятельность по разработке, предоставлению и поддержке ИТ услуги, соответствующих требованиям, с учетом присущих ИТ рисков. Основные характеристики ИТ услуги: функциональность, доступность, производительность, безопасность, непрерывность, стоимость. Характеристики ИТ услуги являются основой построения системы рисков и проведения оценки уровня их допустимости. ИТ деятельность и управление ИТ рассматриваются как система взаимосвязанных процессов жизненного цикла требуемых Компании ИТ услуг и процессов управления, необходимых для обеспечения полноты, своевременности и определяемых соответствующими характеристиками уровня ИТ услуг. Риск – недостижение цели ИТ деятельности в ее параметрах

  5. Проблемы проведения анализа рисков Х Х = Ценность ресурса Риск Уязвимость Угроза На следующих этапах управления рисками: 1. Определение областей рисков. • Проблема инвентаризации ресурсов и оценка их стоимости • Решение – программное обеспечение Altiris, Microsoft и т.п. + • Взаимодействие с бизнес подразделениями, владельцами ресурсов • 2. Определение существующих угроз и уязвимостей ИТ систем • Проблема в построении модели угроз, проблема с экспертной оценкой уязвимостей ИТ систем, проблемы с оценкой вероятности реализации угрозы • Решение – использование существующих моделей DSECCT, OWASP («Open Web Application Security Project»), DREAD Threat Model, бесплатный программный продукт Microsoft threat modelling tool, использование методик и стандартов анализа риска, привлечение внешних консультантов.

  6. Управление цепочкой технологических рисков Управление рисками качества ИТ услуг / системы управления Управление проектными рисками ИТ услуг Бизнес процессы Управление стратегическими рисками ИТ процессы ИТ услуги Управление инфраструктурными рисками и рисками ИБ Мобильные пользователи Внутренняя сеть, LAN Серверная ферма, хранилища данных Глобальные сети, WAN Рабочее место

  7. Инструменты управления рисками Надежная система управления ИТ деятельностью Компании – основной инструмент по снижению рисков до приемлемого уровня

  8. КОНТАКТЫ • Центральный офис • 115093, Москва, ул. Павловская, 7 • Телефон: +7 (495) 980-9081 • Факс: +7 (495) 980-9082 • E-mail: info@energy-consulting.ru • Филиал в Санкт-Петербурге • 199106, Санкт-Петербург, Васильевский остров, • Большой проспект, д. 80 • Телефон: +7 (812) 3321314 • Телефон/факс: +7 (812) 3322029 • Офис в Казани • 420012, Казань, ул. Достоевского, д. 18/75 • Телефон/факс: +7 (843) 5265150 • www.ec-group.ru • КОНТАКТЫ: • 115093, Москва, Россия, Павловская ул. д. 7 • Тел: + 7 (495) 980-9081 • Факс: + 7 (495) 980-9082 • e-mail: info@energy-consulting.ru • www.ec-group.ru

More Related