40
МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ Алексей Бугров – заместитель генерального директора ЗАО «Лета» Мария Акатьева – директор департамента продуктов и услуг / руководитель направления систем менеджмента ИБ и НБ ЗАО «Лета» +7 (495) 921 1410 / www.leta.ru

Методы автоматизации управления рисками

Embed Size (px)

DESCRIPTION

Презентация Алексей Бугров, заместитель генерального директора компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»

Citation preview

Page 1: Методы автоматизации управления рисками

МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ

Алексей Бугров – заместитель генерального директора ЗАО «Лета»

Мария Акатьева – директор департамента продуктов и услуг / руководитель направления систем менеджмента ИБ и НБ ЗАО «Лета»

+7 (495) 921 1410 / www.leta.ru

Page 2: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

2

СОДЕРЖАНИЕ

• Общая информация

• Методы автоматизация процесса управления рисками ИБ

• Метод автоматизация оценки рисков ИБ – разработка ЗАО «Лета»

• Услуга по управлению рисками ИБ

• Выводы

+7 (495) 921 1410 / www.leta.ru

Page 3: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3

ЗАДАЧИ ИБ

• Защитить информацию, которая критична для бизнеса и может быть использована в конкурентной борьбе;

• Достичь соответствия обязательным требованиям в части ИБ

• Управлять рисками, которые существенны для компании

• Управлять инцидентами ИБ

• Оценить эффективность работы средств и процессов ИБ

+7 (495) 921 1410 / www.leta.ru

Page 4: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

4

ОБЯЗАННОСТИ, ВОЗЛАГАЕМЫЕ НА ПОДРАЗДЕЛЕНИЕ ИБ

+7 (495) 921 1410 / www.leta.ru

Руководители ИБ уже не просто специалисты техническим решениям ИБ

Менеджеры информационных рисков

возлагается роль

Page 5: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

5

ЧТО МЫ ЗНАЕМ О РИСКЕ?

+7 (495) 921 1410 / www.leta.ru

Требования ISO 27001

SOX

Basel II

Письмо ЦБ РФ N 76-Т

СТО БР ИББС-1.0-2006

PCI DSS и т.д.

Стандарты и методики ISO 27003

CRAMM

OCTAVE

NIST 800-30

Microsoft. The Security Risk Management Guide

Инвентаризация активов

Определение ценности активов

Идентификация угроз и уязвимостей

Определение вероятностей

Оценка ущерба

Оценка риска

Анализ рисков

Принятие решений по обработке

рисков

Обработка рисков

Мониторинг рисков

Page 6: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

6

ОСНОВНЫЕ ПРОБЛЕМЫ ПРИ АНАЛИЗЕ РИСКОВ

+7 (495) 921 1410 / www.leta.ru

• Неправильно выбрана область, глубина и момент времени для оценки!

• Оцениваются риски для информации, а не риски для бизнеса!

• Мы говорим с руководством на непонятном языке!

Page 7: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

7

ОСНОВНЫЕ БЛОКИ АНАЛИЗА РИСКОВ ИБ

+7 (495) 921 1410 / www.leta.ru

Анализ рисков

Управление риском ИБ

(процедура)

Оценка риска ИБ

(методика)

Page 8: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

8

МЕТОДЫ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ РИСКОМ ИБ

+7 (495) 921 1410 / www.leta.ru

Altiris CMDB инвентаризация активов

Altiris SMP портальное решение

Symantec Workflow организация взаимодействия

Page 9: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

9

ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ РИСКАМИ

+7 (495) 921 1410 / www.leta.ru

Page 10: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

10+7 (495) 921 1410 / www.leta.ru

ВЗАИМОДЕЙСТВИЕ ПО УПРАВЛЕНИЮ РИСКАМИ

Регистрация риска

Согласование риска

Редактирование риска

Принятие решения по обработке

риска

Р

Р

Р

Регистрация проблемы

Согласование проблемы

Редактирование проблемы

П

П

П

Р

Регистрация и редактирован

ие мер контроля

М

Зарегистрирована

Подтверждена

Отклонена

Зарегистрирован

Отклонен

Р

На повторное согласован

ие

Принят

К обработке

М

М

М

П

На повторное согласован

ие

Problem_creator

Problem_reviewer

Risk_reviewer

Risk_creator

Risk_creator

Risk_approver

Control_creator

Problem_creator

П

Р

М

Проблемы (уязвимости)

Риски

Меры обработки рисков

А

А

Вторичныеактивы из системы

CMDB

Первичныеактивы из системы CMDB

A Активы

Р

П

М

Неактуальна

Неактуален

Конец жизненного цикла объекта

Внедрена

Внедряется

К внедрению

Предложена

Неактуальна

Risk_creator

НЕТ

Приводит к новому риску?

ДА

Page 11: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

11

ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ • Формализуют порядок выявления,

поступления на обработку и согласование риска

• Позволяют интегрировать процесс управления риском в каждодневную деятельность Организации

• Четко распределить ответственность при согласовании и принятии решений по обработке риска

+7 (495) 921 1410 / www.leta.ru

Page 12: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

12

ВОЗМОЖНОСТИ РЕШЕНИЙ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ • Позволяют держать на контроле исполнение

сроков и качества по обработке риска – контроль эффективности

• Позволяют предоставлять понятную руководству отчетность по управлению риском

• Однако не предусматривают методику по оценке риска …

+7 (495) 921 1410 / www.leta.ru

Page 13: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

13

ОСНОВНЫЕ МОМЕНТЫ АНАЛИЗА РИСКОВ

+7 (495) 921 1410 / www.leta.ru

Анализ рисков

Управление риском ИБ

(процедура)

Оценка риска ИБ

(методика)

Page 14: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

14

ОЦЕНКА РИСКОВ ИБ

+7 (495) 921 1410 / www.leta.ru

Аsset InventoryModule

Risk Assessment Module

Reports

Page 15: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

15

• Соответствует требованиям ISO 27001

• При разработке решения были использованы лучшие мировые практики в области анализа рисков ИБ ISO 27002, ISO 27005, COBIT, NIST и т.д.

• Решение было одобрено международным органом по сертификации BSI, успешно опробовано и применено в СУИБ ЗАО «Лета»

http://www.leta.ru/press-center/news/2011/06/16/id_635.html

+7 (495) 921 1410 / www.leta.ru

МЕТОДИКА АНАЛИЗА РИСКОВ. ИНСТРУМЕНТАРИЙ

Page 16: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

16

МЕТОДИКА АНАЛИЗА РИСКОВ. ИНСТРУМЕНТАРИЙ

+7 (495) 921 1410 / www.leta.ru

Аsset InventoryModule

Risk Assessment Module

Reports

Page 17: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

17+7 (495) 921 1410 / www.leta.ru

УПРАВЛЕНИЕ АКТИВАМИ - АSSET INVENTORYMODULE

Page 18: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

18+7 (495) 921 1410 / www.leta.ru

УПРАВЛЕНИЕ РИСКАМИ - RISK ASSESSMENT MODULE

Page 19: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

19

ОСОБЕННОСТИ РЕШЕНИЯ

+7 (495) 921 1410 / www.leta.ru

• Проведение оценки ущерба по различным критериям

• Присвоение информации категории на основании полученных оценок

Page 20: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

20

ОСОБЕННОСТИ РЕШЕНИЯ

+7 (495) 921 1410 / www.leta.ru

• Глубоко проработанная модель нарушителя ИБ

Page 21: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

21

ОСОБЕННОСТИ РЕШЕНИЯ

• Гибкая система справочников угроз и уязвимостей

+7 (495) 921 1410 / www.leta.ru

Page 22: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

22

ОСОБЕННОСТИ РЕШЕНИЯ

• Определение первичного актива (информации) с привязкой к конкретным ресурсам Компании

+7 (495) 921 1410 / www.leta.ru

Page 23: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

23

ОСОБЕННОСТИ РЕШЕНИЯ

• Описание бизнес-процессов Компании

+7 (495) 921 1410 / www.leta.ru

Page 24: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

24

ОСОБЕННОСТИ РЕШЕНИЯ

• Оценка рисков в случае нарушения трех свойств информации

+7 (495) 921 1410 / www.leta.ru

Page 25: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

25

ОСОБЕННОСТИ РЕШЕНИЯ

+7 (495) 921 1410 / www.leta.ru

• Ведение базы контрмер с оценкой степени внедрения контрмер и степени влияния на риск ИБ

Page 26: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

26

ОСОБЕННОСТИ РЕШЕНИЯ

+7 (495) 921 1410 / www.leta.ru

• Проработанный набор угроз и уязвимостей на базе каталогов угроз и уязвимостей BSI с привязкой к классу контрмер

Page 27: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

27

ОСОБЕННОСТИ РЕШЕНИЯ

+7 (495) 921 1410 / www.leta.ru

• Возможность оценивать риски для группы активов

Page 28: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

28

ОСОБЕННОСТИ РЕШЕНИЯ

+7 (495) 921 1410 / www.leta.ru

• Формирование подробного описания профиля риска

Page 29: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

29

ОСОБЕННОСТИ РЕШЕНИЯ

• На основе полученной информации возможность стоить до 15 различных отчетов в зависимости от нужд Заказчика

+7 (495) 921 1410 / www.leta.ru

Page 30: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

30

ОСОБЕННОСТИ РЕШЕНИЯ

+7 (495) 921 1410 / www.leta.ru

• Возможность демонстрации руководству стоимостную оценку риска, контрмеры и остаточного риска ИБ – обоснование бюджетирования в области ИБ

Page 31: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

31

ОСОБЕННОСТИ РЕШЕНИЯ

• Возможность следить за состоянием риска ИБ во времени и строить аналитику для руководства

+7 (495) 921 1410 / www.leta.ru

Page 32: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

32

ОСОБЕННОСТИ РЕШЕНИЯ

• Сильный математический аппарат методики заложен в систему, расчет проводится автоматически

+7 (495) 921 1410 / www.leta.ru

Page 33: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

33

СОСТАВ УСЛУГИ ПО УПРАВЛЕНИЮ РИСКАМИ ИБ

+7 (495) 921 1410 / www.leta.ru

1. Процессы управления ИБ (набор документов и средств автоматизации)

3. Гибкая схема взаимодействия по оценке рисков ИБ (схема поддержания процесса). Возможности по аутсорсингу процесса

Page 34: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

34

ГИБКАЯ СХЕМА КОММУНИКАЦИИ. ВОЗМОЖНОСТИ ПО АУТСОРСИНГУ

+7 (495) 921 1410 / www.leta.ru

Заказчик Исполнитель

Page 35: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

35

ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ ИБ

+7 (495) 921 1410 / www.leta.ru

Очень трудоемкие этапы

Page 36: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

36

ДОКУМЕНТИРОВАННЫЕ РЕЗУЛЬТАТЫ

• Процедура управления рисками • Методики оценки ценности

активов и оцени рисков ИБ • Отчет по инвентаризации

активов с оценкой их ценности и определения категории конфиденциальности для информации

• Отчет по результатам оценки рисков ИБ

• План обработки рисков ИБ

+7 (495) 921 1410 / www.leta.ru

Page 37: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

37

ЭТАПЫ ВЫПОЛНЕНИЯ РАБОТ

• Выбор области проведения работ

• Обследование

• Согласование методики оценки рисков, шкал

• Инвентаризация и категорирование активов

• Проведение анализа мер по ИБ Заказчика

• Проведение анализа рисков ИБ

• Проведение оценки рисков ИБ

• Подготовка отчетной документации

• Презентация по результатам работ

• Определение порядка взаимодействия в случае переоценки рисков

по изменениям в инфраструктуре

+7 (495) 921 1410 / www.leta.ru

Page 38: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

38

ВЫВОДЫ

+7 (495) 921 1410 / www.leta.ru

• Формирование бюджета в области ИБ должно проводится на базе оценки рисков ИБ для бизнеса!

• Управление рисками – это процесс + методика оценки рисков ИБ. Автоматизировать можно обе части !!

• При выборе способа по управлению рисками ИБ нужно:• оценить масштаб и структуру Организации• оценить насколько возможно и удобно использовать его в

каждодневной работе • оценить трудоемкость процесса на небольшой области

внедрения перед тем, как масштабировать на всю Организацию

Page 39: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

39

• Методика оценки рисков должна быть основана на стандартах и международных практиках, чтобы быть принятой руководством Организации!

• При проведении анализа рисков следует рассмотреть, какие его части возможно передать на аутсорсинг для снятия с подразделения ИБ дополнительной нагрузки!

+7 (495) 921 1410 / www.leta.ru

ВЫВОДЫ

Page 40: Методы автоматизации управления рисками

УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

40

КОНТАКТНАЯ ИНФОРМАЦИЯ

LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru

+7 (495) 921 1410 / www.leta.ru

СПАСИБО ЗА ВНИМАНИЕ!