Презентация вебинара ism revision:risk manager
TRANSCRIPT
![Page 1: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/1.jpg)
ISM REVISIONновый подход к управлению ИБ
![Page 2: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/2.jpg)
О КОМПАНИИ
Компания ISM SYSTEMS была основана в 2011 г. с целью создания программных решений, позволяющих обеспечить качественно иной уровень управления информационной безопасностью
Наша миссия: Мы создаем инновационные решения, позволяющие нашим клиентам эффективно решать вопросы управления информационной безопасностью
![Page 3: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/3.jpg)
ISO 27001
PCI DSSСТО БР ИББС
152-ФЗ
Закон об НПС
![Page 4: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/4.jpg)
![Page 5: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/5.jpg)
Управление инцидентами ИБ
Обеспечение непрерывности бизнеса
Проведение аудитов ИБ
Организация СОИБ (менеджмент ИБ)
Управление информационными
активами и рисками ИБ
Обеспечению ИБ при управлении персоналом
СМИБ
![Page 6: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/6.jpg)
ЦЕЛЬ ISM REVISION –
АВТОМАТИЗАЦИЯ ПРОЦЕССОВ МЕНЕДЖМЕНТА ИБ
![Page 7: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/7.jpg)
КОМПОНЕНТЫ ISM REVISION
Audit Manager
Risk Manager
Task Managerв разработке
PS Auditorв разработке
![Page 8: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/8.jpg)
УПРАВЛЕНИЕ РИСКАМИ ИБ
с помощьюISM REVISION: RISK MANAGER
![Page 9: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/9.jpg)
CounterMeasures
AS NZS 4360 - 2004 COBRA
NIST SP800-30 vsRisk
CRAMMFAIR
EBIOS
BSI-Standard 100-3: Risk Analysis based on IT-Grundschutz
Modulo
OCTAVE
PTA
SOMAPOSSTMM
ISO 27005
ГРИФ
RM Studio
Harmonized TRA Methodology
ISF IRAM
РС БР ИББС-2.2
![Page 10: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/10.jpg)
ISO 27005
![Page 11: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/11.jpg)
РС БР ИББС-2.2
Процедура 1. Определение области оценки рисков и перечня типов информационных активов
Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов
Процедура 3. Определение источников угроз для каждого из типов объектов среды
Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды
Процедура 5. Определение СТП нарушения ИБ для типов информационных активов
Процедура 6. Оценка рисков нарушения ИБ
![Page 12: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/12.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 13: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/13.jpg)
ISO 27005
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 14: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/14.jpg)
РС БР ИББС-2.2
4.3. Оценка рисков нарушения ИБ проводится для типов информационных активов (типов информации), входящих в предварительно определенную область оценки.
4.7. Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой сотрудниками службы ИБ организации БС РФ с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы информационных активов.
5.7.1. Основными факторами для оценки СТП нарушения ИБ являются:— степень влияния на непрерывность деятельности организации БС РФ;— степень влияния на деловую репутацию ….
5.6.1 Основными факторами для оценки СВР угроз ИБ являются:…— предположения о квалификации и (или) ресурсах источника угрозы;— статистические данные о частоте реализации угрозы ее источником в прошлом…
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 15: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/15.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 16: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/16.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 17: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/17.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 18: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/18.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 19: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/19.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 20: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/20.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 21: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/21.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 22: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/22.jpg)
Шаг 1. Определение основных параметров проведения оценки рисков
![Page 23: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/23.jpg)
Шаг 2. Определение и оценка информационных активов
![Page 24: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/24.jpg)
ISO 27005
Шаг 2. Определение и оценка информационных активов
![Page 25: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/25.jpg)
РС БР ИББС-2.2
5.3. Процедура 1. Область оценки рисков нарушения ИБ может быть определена как:
— перечень типов информационных активов организации БС РФ в целом;— перечень типов информационных активов подразделения организации БС РФ;— перечень типов информационных активов, соответствующих отдельным процессам деятельности организации БС РФ в целом или подразделения организации БС РФ.
5.3.1. Для каждого из типов информационных активов определяется перечень свойствИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации БС РФ.
5.3.2. Перечень типов информационных активов области оценки рисков нарушения ИБ и их свойства ИБ документально фиксируются
Шаг 2. Определение и оценка информационных активов
![Page 26: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/26.jpg)
Шаг 2. Определение и оценка информационных активов
![Page 27: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/27.jpg)
Шаг 2. Определение и оценка информационных активов
![Page 28: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/28.jpg)
Шаг 2. Определение и оценка информационных активов
![Page 29: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/29.jpg)
Шаг 2. Определение и оценка информационных активов
![Page 30: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/30.jpg)
Шаг 3. Определение состава объектов среды / информационных систем
![Page 31: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/31.jpg)
Шаг 3. Определение объектов среды / информационных систем
ISO 27005
![Page 32: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/32.jpg)
5.4. Процедура 2. Для каждого из выделенных в рамках выполнения процедуры 1 типовинформационных активов составляется перечень типов объектов среды.
При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации БС РФ.
Перечень типов объектов среды документально фиксируется, для чего рекомендуетсяиспользовать примерную форму, приведенную в приложении 3.
РС БР ИББС-2.2
Шаг 3. Определение объектов среды / информационных систем
3.8. Объект среды информационного актива: материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).
![Page 33: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/33.jpg)
ИНФОРМАЦИЯ
Шаг 3. Определение объектов среды / информационных систем
![Page 34: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/34.jpg)
ИНФОРМАЦИЯ
ИНФОРМАЦИЯ
ИНФОРМАЦИЯ
Группа объектов среды
Шаг 3. Определение объектов среды / информационных систем
![Page 35: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/35.jpg)
ГРУППИРОВКА ОБЪЕКТОВ СРЕДЫ
Облегчает проведение оценки рисков для комплексных систем
Позволяет проводить оценку рисков любого уровня детализации
Позволяет проводить оценку ИТ-рисков для прикладных систем
![Page 36: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/36.jpg)
ГРУППИРОВКА ОБЪЕКТОВ СРЕДЫ
Примеры групп:
• Группа ноутбуков топ-менеджеров
• Сервера, рабочие станции и локальные сети удаленного филиала
• Автоматизированная банковская система (группа серверов, каналов связи, рабочих мест, носителей информации)
![Page 37: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/37.jpg)
Шаг 3. Определение объектов среды / информационных систем
![Page 38: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/38.jpg)
Шаг 3. Определение объектов среды / информационных систем
![Page 39: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/39.jpg)
Шаг 3. Определение объектов среды / информационных систем
![Page 40: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/40.jpg)
Шаг 4. Определение угроз информационной безопасности
![Page 41: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/41.jpg)
ИСТОЧНИКИСТОЧНИК
Шаг 4. Определение угроз информационной безопасности
УГРОЗА
СПОСОБ РЕАЛИЗАЦИИ
СПОСОБ РЕАЛИЗАЦИИ
СПОСОБ РЕАЛИЗАЦИИ
ИСТОЧНИК
ИСТОЧНИКИСТОЧНИКПРЕДПОСЫЛКИ*
ИСТОЧНИКИСТОЧНИКЗАЩИТНЫЕ МЕРЫ
* уязвимости в терминологии ISO 27005
![Page 42: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/42.jpg)
ПРЕДПОСЫЛКИ: Наличие уязвимостей (как известных, так и или недокументированных возможностей/закладок (backdoor) в программном обеспечении; Наличие у персонала возможности обмена информацией с использованием сети Интернет
ИСТОЧНИКИ: рядовые преступники/нарушители, преступные группировки, профессионалы, спецслужбы иностранных государств
Шаг 4. Определение угроз информационной безопасности
УГРОЗА: Хищение информации внешним нарушителем за счет внедрения вредоносного программного обеспечения
СПОСОБ РЕАЛИЗАЦИИ: Распространение вредоносного кода через средства электронной почты
ИСТОЧНИКИ: рядовые преступники/нарушители, преступные группировки, профессионалы, спецслужбы иностранных государств
ПРЕДПОСЫЛКИ: Наличие уязвимостей (как известных, так и не известных) или недокументированных возможностей/закладок (backdoor) в программном обеспечении; Наличие у персонала возможности обмена информацией с использованием сети Интернет
![Page 43: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/43.jpg)
Шаг 4. Определение угроз информационной безопасности
ISO 27005
![Page 44: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/44.jpg)
Шаг 4. Определение угроз информационной безопасности
ISO 27005
![Page 45: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/45.jpg)
РС БР ИББС-2.2
Шаг 4. Определение угроз информационной безопасности
5.5. Процедура 3. Для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды составляется перечень источников угроз, воздействие которых может привести к потере свойств ИБ соответствующих типов информационных активов.
Перечень источников угроз формируется на основе модели угроз организации БС РФ.
При этом возможно расширение первоначального перечня источников угроз, зафиксированных в модели угроз организации БС РФ (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или от дельных объектов среды).
При формировании перечня источников угроз рекомендуется рассматривать возможныеспособы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов информационных активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией БС РФ.
![Page 46: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/46.jpg)
Шаг 4. Определение угроз информационной безопасности
![Page 47: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/47.jpg)
Шаг 4. Определение угроз информационной безопасности
![Page 48: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/48.jpg)
Шаг 4. Определение угроз информационной безопасности
![Page 49: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/49.jpg)
Шаг 4. Определение угроз информационной безопасности
![Page 50: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/50.jpg)
Шаг 4. Определение угроз информационной безопасности
![Page 51: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/51.jpg)
Шаг 4. Определение угроз информационной безопасности
![Page 52: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/52.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 53: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/53.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
ISO 27005
![Page 54: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/54.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
РС БР ИББС-2.2
5.6. Процедура 4. Для выполнения оценки СВР угроз ИБ используются результаты выполнения процедур 1, 2, 3 настоящей методики и проводится анализ возможности потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
5.7. Процедура 5. Для выполнения оценки СТП нарушения ИБ используются результатывыполнения процедур 1, 2, 3 настоящей методики и проводится анализ последствий потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
![Page 55: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/55.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
ОЦЕНКА УЩЕРБА
ИНФОРМАЦИЯ
К
Ц
Д
Ценность
Ценность
ЦенностьИНФОРМАЦИЯ
ИНФОРМАЦИЯ
Группа объектов среды
К
Ц
Д
Ценность
Ценность
Ценность
Определяет ущерб от реализации угроз
![Page 56: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/56.jpg)
ИСТОЧНИКИСТОЧНИКЗАЩИТНЫЕ МЕРЫЗАЩИТНЫЕ МЕРЫ
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
ОЦЕНКА ВЕРОЯТНОСТИ
ИСТОЧНИК ЗАЩИТНЫЕ МЕРЫ
ВЕРОЯТНОСТЬ = ВОЗМОЖНОСТИ ИСТОЧНИКА * (1 - ЭФФЕКТИВНОСТЬ ЗАЩ.МЕР)
![Page 57: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/57.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 58: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/58.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 59: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/59.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 60: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/60.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 61: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/61.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 62: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/62.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 63: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/63.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 64: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/64.jpg)
Шаг 5. Определение вероятности и возможногоущерба от реализации угроз ИБ
![Page 65: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/65.jpg)
Шаг 6. Определение уровней рисков информационной безопасности
![Page 66: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/66.jpg)
Шаг 6. Определение уровней рисков информационной безопасности
ISO 27005
![Page 67: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/67.jpg)
Шаг 6. Определение уровней рисков информационной безопасности
РС БР ИББС-2.2
5.8. Процедура 6. Оценка рисков нарушения ИБ проводится на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз.
Оценка рисков проводится для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз.
![Page 68: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/68.jpg)
Шаг 6. Определение уровней рисков информационной безопасности
![Page 69: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/69.jpg)
Шаг 7. Составление плана обработки рисков
![Page 70: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/70.jpg)
Шаг 7. Составление плана обработки рисков
ISO 27005
![Page 71: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/71.jpg)
Шаг 7. Составление плана обработки рисков
СТО БР ИББС-1.0
8.5.1. По каждому из рисков нарушения ИБ, который является недопустимым, должен быть документально определен план, определяющий один из возможных способов его обработки: — перенос риска на сторонние организации (например, путем страхования указанного риска);— уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);— осознанное принятие риска;— формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирования планов по их реализации.
8.5.2. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утверждены руководством.
![Page 72: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/72.jpg)
Шаг 7. Составление плана обработки рисков
![Page 73: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/73.jpg)
Шаг 7. Составление плана обработки рисков
![Page 74: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/74.jpg)
Шаг 7. Составление плана обработки рисков
![Page 75: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/75.jpg)
Шаг 7. Составление плана обработки рисков
![Page 76: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/76.jpg)
Шаг 7. Составление плана обработки рисков
![Page 77: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/77.jpg)
Шаг 7. Составление плана обработки рисков
![Page 78: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/78.jpg)
Шаг 7. Составление плана обработки рисков
![Page 79: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/79.jpg)
Шаг 7. Составление плана обработки рисков
![Page 80: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/80.jpg)
ОСНОВНЫЕ ПРЕИМУЩЕСТВА
ISM REVISION: RISK MANAGER
![Page 81: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/81.jpg)
Готовая база необходимой аналитики
Более 80 предпосылок
Более 70 возможных угроз ИБ
Более 100 защитных мер
Готовые перечни информационные активов, типов объектов среды
База может быть расширена пользователем
![Page 82: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/82.jpg)
Простота работы и автоматизация оценки
Автоматический расчет показателей рисков
Два режима работы (мастер и экспертный)
Импорт/экспорт результатов
Копирование оценок
![Page 83: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/83.jpg)
Возможность создания необходимой отчетности
Перечень информационных активов
Перечень объектов среды
Протокол утверждения критериев оценивания рисков
Сводный реестр рисков
Детализированный реестр рисков ИБ
План обработки рисков ИБ
![Page 84: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/84.jpg)
Возможность создания необходимой отчетности
![Page 85: Презентация вебинара ISM Revision:Risk Manager](https://reader035.vdocument.in/reader035/viewer/2022062313/55756908d8b42a2e248b4ad6/html5/thumbnails/85.jpg)
Возможность создания необходимой отчетности