Презентация на тему: УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Организационные меры
Мероприятия, осуществляемые в процессе эксплуатации систем
Модель зрелости
Модель Carnegie Mellon University
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Управление рисками на различных стадиях жизненного цикла системы
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Оценка рисков
Идентификация активов
Выделение категорий ресурсов Классификация ресурсов Определение ценности ресурса
Свойства безопасности
Шкала оценки ущерба при нарушении информационной безопасности
Оценка и обработка рисков
Обработка рисков
УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1/20
Средняя оценка: 4.4/5 (всего оценок: 92)
Код скопирован в буфер обмена
Скачать (1235 Кб)
1

Первый слайд презентации: УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

© Баранова Е.К.

Изображение слайда
2

Слайд 2

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации. Защита информации Организационные меры Инженерно-технические меры Криптографические меры Федеральный закон РФ от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации " Программно-аппаратные меры Правовые меры

Изображение слайда
3

Слайд 3: Организационные меры

внутренний и внешний аудит, оценка риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты, руководства

Изображение слайда
4

Слайд 4: Мероприятия, осуществляемые в процессе эксплуатации систем

организация пропускного режима; организация автоматизированной обработки информации; распределение реквизитов разграничения доступа (паролей, полномочий и т.д.); организация ведения протоколов; контроль выполнения требований служебных инструкций; создание твердых копий важных с точки зрения утраты массивов данных и другие

Изображение слайда
5

Слайд 5: Модель зрелости

Cobit 4.1 Уровни зрелости: 0 Несуществующий 1 Начальный/Повторяющийся эпизодически и бессистемно 2 Повторяющийся, но интуитивный 3 Определенный 4 Управляемый и измеряемый 5 Оптимизированный Обозначения: Текущее положение организации Средний показатель для отрасли Цель организации Описание уровней: 0 Процессы управления не применимы 1 Процессы используются разово или в отдельных случаях и не организованы 2 Процессы повторяются по образцу 3 Процессы документально оформлены и доведены до сведения заинтересованных лиц 4 Ведется мониторинг процессов в измеряемых показателях 5 Лучшие практики внедрены и автоматизированы

Изображение слайда
6

Слайд 6: Модель Carnegie Mellon University

Измеряемый Анархия Фольклор Стандарты Оптимизируемый Руководство не занимается вопросами ИБ. Обеспечением ИБ сотрудники могут заниматься по своей инициативе, в соответствии со своим пониманием задач На уровне руководства существует определенное понимание задач обеспечения ИБ. Существуют стихийно сложившиеся процедуры обеспечения ИБ, их полнота и эффективность не анализируется Руководство осознает задачи в области ИБ. Руководство заинтересовано в использовании стандартов в области ИБ, оформлении документации в соответствии с ними Имеется полный комплект документов в области ИБ. Действующие инструкции соблюдаются. Регулярно проводится внутренний аудит в области ИБ. Руководство уделяет должное внимание вопросам ИБ Руководство заинтересовано в количественной оценке существующих рисков, готово нести ответственность, ставит оптимизационные задачи построения системы ЗИ Петренко С.А. Управление информационными рисками

Изображение слайда
7

Слайд 7

процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации The Committee of Sponsoring Organizations of the Treadway Commission Управление рисками Управление рисками скоординированные действия по управлению и контролю организации в отношении риска. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения BS 7799-3:2006 Система управления ИБ. Руководство по управлению рисками ИБ

Изображение слайда
8

Слайд 8: Управление рисками на различных стадиях жизненного цикла системы

Предпроектная стадия Проектирование Создание Функционирование Прекращение функционирования Управление рисками

Изображение слайда
9

Слайд 9

Применение модели PDCA к управлению рисками

Изображение слайда
10

Слайд 10

Базовая оценка рисков Полная оценка рисков требованиями базового уровня защищенности не рассматривается ценность ресурсов не оценивается эффективность контрмер повышенные требования в области ИБ определение ценности ресурсов оценка угроз и уязвимостей выбор надлежащих контрмер, оценка их эффективности

Изображение слайда
11

Слайд 11

+ минимальное количество ресурсов (материальных, временных, людских) - если принимать слишком высокий базовый уровень, то для ряда систем уровень обеспечения безопасности будет завышен ; если базовый уровень будет принят слишком низким, то для ряда систем уровень обеспечения безопасности будет недостаточен, что увеличит риск ее нарушения. ГОСТ Р ИСО/МЭК 13335-3-2007 Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий Базовая оценка рисков

Изображение слайда
12

Слайд 12

+ для каждой системы будут определены соответствующие ей защитные меры; результаты проведения детального анализа могут быть использованы при управлении изменениями в системе обеспечения безопасности. - требуется значительное количество средств, времени, квалифицированного труда; существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, так как для проведения оценки всех систем потребуется значительное время. ГОСТ Р ИСО/МЭК 13335-3-2007 Детальная оценка рисков

Изображение слайда
13

Слайд 13: Оценка рисков

BS 7799-3:2006 Система управления ИБ. Руководство по управлению рисками ИБ

Изображение слайда
14

Слайд 14: Идентификация активов

17799-2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью

Изображение слайда
15

Слайд 15: Выделение категорий ресурсов Классификация ресурсов Определение ценности ресурса

Изображение слайда
16

Слайд 16: Свойства безопасности

ГОСТ Р ИСО/МЭК 13335-1-2006 Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий Для определения ценности актива необходимо определить степень тяжести последствий от нарушения свойств безопасности. Затем найти интегрированную характеристику

Изображение слайда
17

Слайд 17: Шкала оценки ущерба при нарушении информационной безопасности

Низкий Умеренный Высокий - если потеря конфиденциальности, целостности и/или доступности оказывает тяжелое или катастрофическое вредоносное воздействие на деятельность организации, ее активы и персонал - если потеря конфиденциальности, целостности и/или доступности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал если потеря конфиденциальности, целостности и/или доступности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал Материалы JetInfo

Изображение слайда
18

Слайд 18: Оценка и обработка рисков

Изображение слайда
19

Слайд 19: Обработка рисков

ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения BS 7799-3:2006 Система управления ИБ. Руководство по управлению рисками ИБ

Изображение слайда
20

Последний слайд презентации: УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

+

Изображение слайда