1 / 23

Сучасні підходи до оцінки ризиків інформаційних технологій

Сучасні підходи до оцінки ризиків інформаційних технологій (на підтримку впровадження галузевих стандартів інформаційної безпеки ГСТУ СУІБ 1.0/ISO/IES 27001:2010 та ГСТУ СУІБ 2.0/ISO/IES 27002:2010) Володимир Ткаченко Директор ТОВ “Агентство активного аудиту” м. Київ - 2010 р.

lane-walters
Download Presentation

Сучасні підходи до оцінки ризиків інформаційних технологій

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Сучасні підходи до оцінки ризиків інформаційних технологій (на підтримку впровадження галузевих стандартів інформаційної безпеки ГСТУ СУІБ 1.0/ISO/IES 27001:2010 та ГСТУ СУІБ 2.0/ISO/IES 27002:2010) Володимир Ткаченко Директор ТОВ “Агентство активного аудиту” м. Київ - 2010 р.

  2. Управління ризиками ІТ

  3. Підходи до управління ІТ ризиками

  4. Методології оцінки ІТ ризиків Методологія оцінки ризиків Національного Інституту Стандартів та Технологій США (National Institute of Standards and Technology – NIST) Методологія аналізу факторів ризиків інформаційних технологій (Factor Analysis of Information Risk - FAIR) Методологія пропорційного аналізу ризиків (MESARI) Методоцінки операційно критичних загроз, активів та уразливостей (Operationally critical threats, assets and vulnerability evaluation – OCTAVE) Методологія аналізу інформаційних ризиківМіжнародного Форуму з інформаційної безпеки (Information Risk Analysis Methodology – IRAM)

  5. Методика оцінки ризиків NIST

  6. Оцінки ІТ ризиків згідно NIST Заходи з оцінки ризиків Вхідні дані Вихідні дані Апаратне та програмне забезпечення; Інтерфейси системи; Дані, що обробляються; Люди, що задіяні; Призначення системи. Характеристика системи (активу) Межі застосування системи; Функції системи; Критичність даних, що обробляються; Чутливість системи до зовнішніх факторів. Історія виникнення системи; Дані від авторитетних джерел (дослідницькі агентства, NIPC, SANS, CIRT, мас-медіа). Ідентифікація загроз Поточний стан загроз. Звіти попередніх оцінок ризиків; Аудиторські рекомендації; Вимоги до безпеки; Результати тестів заходів безпеки. Ідентифікація уразливостей Перелік потенційних уразливостей. Аналіз заходів захисту Існуючі заходи безпеки; Заплановані заходи безпеки. Список запроваджених та запланованих заходів безпеки. Мотивація джерела загрози; Можливість реалізації загрози; Природа уразливості; Ефективність існуючих заходів безпеки. Імовірність реалізації загроз Рейтинг імовірності реалізації загроз.

  7. Оцінки ІТ ризиків згідно NIST Вхідні дані Заходи з оцінки ризиків Вихідні дані Аналіз впливу втрат (КЦД); Визначення критичності активу; Оцінка критичності інформації. Аналіз впливу на актив Рейтинг активу (цінність для банку). Оцінка ризиків Імовірність експлуатації загрози; Величина збитку; Адекватність запланованих або існуючих заходів безпеки. Ризики із визначеними рівнями. Рекомендованізаходи безпеки Рекомендовані заходи безпеки. Звітна документація Звіт по оцінці ризиків.

  8. Методика оцінки ризиків FAIR

  9. Приклад оцінки ризиків згідно FAIR Сценарій оцінки ризику Посадова особа з відділу кадрів великого банку записала пароль та логін на нотатку та приклеїла до монітору. Таким чином, це полегшує цій особі вхід до мережних ресурсів та на сервер для запуску програмного забезпечення відділу кадрів. Перед початком поміркуємо над співвідношенням рівня ризику та оцінимо ризик від цієї події… Кроки аналізу ризиків • 1.1Визначимо актив, на який впливає ризик (ПЗ та атрибути) • 1.2 Визначимо чинники загрози (прибиральниця, інші співробітники, відвідувачі відділу, співробітники технічної підтримки, наймані особи) • 2.1 Оцінимо можливу частоту виникнення загрози

  10. Приклад оцінки ризиків згідно FAIR • 2.3Визначимо рівень захищеності активу (знання та досвід) Кроки аналізу ризиків • 2.2Визначимо можливість реалізації загрози (знання та досвід)

  11. Приклад оцінки ризиків згідно FAIR • 2.5 Визначимо частоту виникнення втрат (втрати конфіденційності активу) Кроки аналізу ризиків • 2.4Визначимо уразливість активу (зусилля для отримання доступу – рівень захищеності активу)

  12. Приклад оцінки ризиків згідно FAIR • 3.2Визначимо величину можливих втрат Кроки аналізу ризиків • 3.1Визначимо втрати в найгіршому випадку

  13. Приклад оцінки ризиків згідно FAIR Кроки аналізу ризиків • 4.1Вимірюємо та формалізуємо ризик

  14. Методика оцінки ризиків MESARI Іетап ІІетап ІІІетап

  15. Методика оцінки ризиків MESARI ІІетап Детальний аналіз ризиків Опис та визначення проблемних питань Аналіз поточного рівня захищеності (існуючі заходи безпеки) ІІІетап Вибір заходів захисту Впровадження заходів захисту та моніторинг ефективності Іетап Спрощений аналіз Рішення Детальний аналіз ризиків (можливі сценарії реалізації ризиків) Оцінка ризиків Покриття ризиків (усунення причин виникнення та перелік можливих заходів безпеки) Оцінка можливості застосування заходів безпеки Вибір адекватних заходів безпеки Прийняття ризиків (ризик усунуто, знижено або залишковий ризик)

  16. Методика оцінки ризиків OCTAVE

  17. Приклад оцінки ризиків по методу OCTAVE

  18. Методика оцінки ризиків IRAM

  19. Проведення оцінки ризиків згідно IRAM

  20. Узагальнення процесу аналізу ІТ ризиків

  21. Порівняння методів оцінки

  22. Висновки • Методики оцінки ІТ ризиків повинні враховувати специфіку банківської справи (НБУ буде рекомендувати власну методику ) • Окремі етапи оцінки ІТ ризиків повністю автоматизовані; - розроблені (або розробляються) системні утиліти для оцінки ризиків; - надаються утиліти для моделювання загроз та уразливостей; - є програмне забезпечення та документи для проведення оцінки. • Необхідно готувати персонал для проведення аудиту інформаційної безпеки (внутрішнього та зовнішнього) та управління ризиками ІТ • Необхідно забезпечити впровадження методики та консультаційну підтримку

  23. Запитання info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88

More Related