Download - Energy Consulting/ Integration
![Page 1: Energy Consulting/ Integration](https://reader036.vdocument.in/reader036/viewer/2022062721/568136fd550346895d9e8d79/html5/thumbnails/1.jpg)
Energy Consulting/Integration
Информационно-технологические риски Компании
Голов Андрей, CISSP, CISA
Руководитель направления ИБ
![Page 2: Energy Consulting/ Integration](https://reader036.vdocument.in/reader036/viewer/2022062721/568136fd550346895d9e8d79/html5/thumbnails/2.jpg)
Терминология
Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации
Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.
Риск = F (источник угрозы, уязвимость, угроза, последствия)
Управление рисками – оптимальное управление ресурсами для достижения адекватного инвестирования в защитные механизмы для минимизации риска.
![Page 3: Energy Consulting/ Integration](https://reader036.vdocument.in/reader036/viewer/2022062721/568136fd550346895d9e8d79/html5/thumbnails/3.jpg)
Связь рисков и бизнес стратегии Компании
Угроза
Вероятность
Ущерб
Риски Политика Средства контроля
Тесты
Бизнес стратегия
ИТ стратегия Текущая архитектура
Модернизированная архитектура
Архитектура ИБ
ИТ ресурсы
информирует
Информирует о рисках
Выдвигает требования к архитектуре
требует
Базируется на ИТ ресурсах
информирует
Определяет конфигурацию ИТ ресурсов
Определяет эффективность
информируют
Удовлетворение политике
![Page 4: Energy Consulting/ Integration](https://reader036.vdocument.in/reader036/viewer/2022062721/568136fd550346895d9e8d79/html5/thumbnails/4.jpg)
Связь системы управления ИТ и рисков
ИТ деятельность: деятельность по разработке, предоставлению и поддержке ИТ услуги, соответствующих требованиям, с учетом присущих ИТ рисков.
Основные характеристики ИТ услуги: функциональность, доступность, производительность, безопасность, непрерывность, стоимость.
Характеристики ИТ услуги являются основой построения системы рисков и проведения оценки уровня их допустимости.
ИТ деятельность и управление ИТ рассматриваются как система взаимосвязанных процессов жизненного цикла требуемых Компании ИТ услуг и процессов управления, необходимых для обеспечения полноты, своевременности и определяемых соответствующими характеристиками уровня ИТ услуг.
Риск – недостижение цели ИТ деятельности в ее параметрах
![Page 5: Energy Consulting/ Integration](https://reader036.vdocument.in/reader036/viewer/2022062721/568136fd550346895d9e8d79/html5/thumbnails/5.jpg)
На следующих этапах управления рисками:
1. Определение областей рисков.
Проблема инвентаризации ресурсов и оценка их стоимости
Решение – программное обеспечение Altiris, Microsoft и т.п. +
Взаимодействие с бизнес подразделениями, владельцами ресурсов
2. Определение существующих угроз и уязвимостей ИТ систем
Проблема в построении модели угроз, проблема с экспертной оценкой уязвимостей ИТ систем, проблемы с оценкой вероятности реализации угрозы
Решение – использование существующих моделей DSECCT, OWASP («Open Web Application Security Project»), DREAD Threat Model, бесплатный программный продукт Microsoft threat modelling tool, использование методик и стандартов анализа риска, привлечение внешних консультантов.
Риск Ценность ресурса
Уязвимость Угроза= Х Х
Проблемы проведения анализа рисков
![Page 6: Energy Consulting/ Integration](https://reader036.vdocument.in/reader036/viewer/2022062721/568136fd550346895d9e8d79/html5/thumbnails/6.jpg)
Управление цепочкой технологических рисков
Рабочее место
Серверная ферма, хранилища данных
Внутренняя сеть, LAN Глобальные
сети, WAN
Мобильные пользователи
Бизнес процессы
ИТ процессы
ИТ услуги
Управление инфраструктурными
рисками и рисками ИБ
Управление рисками качества ИТ услуг / системы управления
Управление проектными рисками ИТ услуг
Управление стратегическими рисками
![Page 7: Energy Consulting/ Integration](https://reader036.vdocument.in/reader036/viewer/2022062721/568136fd550346895d9e8d79/html5/thumbnails/7.jpg)
Инструменты управления рисками
Надежная система управления ИТ деятельностью Компании – основной инструмент по снижению рисков до приемлемого уровня
![Page 8: Energy Consulting/ Integration](https://reader036.vdocument.in/reader036/viewer/2022062721/568136fd550346895d9e8d79/html5/thumbnails/8.jpg)
КОНТАКТЫ:
115093, Москва, Россия, Павловская ул. д. 7Тел: + 7 (495) 980-9081
Факс: + 7 (495) 980-9082e-mail: [email protected]
www.ec-group.ru
КОНТАКТЫ
Центральный офис115093, Москва, ул. Павловская, 7 Телефон: +7 (495) 980-9081 Факс: +7 (495) 980-9082 E-mail: [email protected]
Филиал в Санкт-Петербурге199106, Санкт-Петербург, Васильевский остров, Большой проспект, д. 80Телефон: +7 (812) 3321314Телефон/факс: +7 (812) 3322029
Офис в Казани420012, Казань, ул. Достоевского, д. 18/75Телефон/факс: +7 (843) 5265150
www.ec-group.ru