Управление рисками ИБ – считаем в деньгах

Управление рисками ИБ – считаем в деньгах
Курносов Федор
Цели Эльдорадо
 Курс на прозрачность и
эффективность бизнеса;
 Повышение устойчивости и
безопасности бизнеса;
 Повышение имиджа надежной
компании для клиентов и
партнеров;
 Повышение уровня
автоматизации бизнеспроцессов с концентрацией
внимания на их безопасности;
 Повышение эффективности,
формализация бизнеспроцессов.
Информационная безопасность в Эльдорадо
 Выделенное подразделение
ИБ
 Поддержка топменеджмента
 Высокая зрелость процессов
ИБ
 Регулярные тренинги по ИБ
 Использование лучших
мировых практик
(сертифицированная по ISO
27001 СУИБ)
 Интеграция ИБ в бизнеспроцессы
Цель ИБ: Помощь бизнесу
 Поддержка бизнеса:
 Снижение рисков ИБ
 Обеспечение
соответствия
 Организация процессов
ИБ
 Развитие ИБ:
 Интеграция ИБ в
корпоративную культуру
 Повышение эффективности и
прозрачности ИБ
 Минимизация затрат на ИБ
Пусть твои дела будут
такими, какими
ты хотел бы видеть их в
старости.
Марк Аврелий
Риск = комбинация вероятности и ущерба
*
Задачи управления рисками ИБ
 Определение рискаппетита
 Идентификация и
анализ рисков
 Ранжирование рисков
 Разработка плана
обработки рисков
 Реализация
мероприятий по
обработке
 Оценка эффективности
Подход к управление рисками ИБ
Оценка
рисков ИБ в
деньгах
Привлечение
бизнеса к
оценке ущерба
Бюджетирование
на основе плана
обработки рисков
Определение риск-аппетита
 Комитет по ИБ:
 ИТ
 ИБ
 Юристы
 СБ
 Внутренний аудит
 Критерии:
 Уровень допустимых
потерь
 Последствия для бизнеса
 Фиксация решения в
протоколе
Риски влияют на бизнес через ИТ-активы
Идентификация и анализ рисков
Бизнеспроцесс
Бизнес: Определение ценности ИС
 Бизнесподразделения
определяют:
 Стоимость
бизнеспроцесса
 Перечень
поддерживающ
их бизнеспроцесс ИС
 Степень (%)
влияние
каждой ИС на
бизнес-процесс
ИТ: Декомпозиция ИС на компоненты
 ИТ определяет:
 Состав ккомпонентов в каждой ИС
 Степень (%) влияния каждого компонента на
ИС
Пример декомпозиции
БП
$
Компонент 1.1:
ИС
м 1
Компонент 1.2:
Компонент 1.3:
%
%
%
%
Компонент 2.1:
ИС 2
Компонент 2.2:
Компонент 2.3:
Пример - Расчет ценности ИТ-активов
Ценность БП (продажи) = $100
Ценность ИС (упр. складом) =
$100* 60%
Ценность компонента
(сервер БД) = $60*50%
Оценка влияния угроз
 Для каждого Актива (БП,
ИС, компонента) –
перечень уязвимостей
 Для каждой уязвимости
– перечень возможных
угроз
 Для каждой угрозы:
 Конфиденциальность
 Целостность
 Доступность
 Вероятность реализации
Расчет рисков
Риск бизнес-процесса ($)
= Σ (Риски ($) ИС)
Риск ($) ИС = Σ (Риски
Компонента)
Риск ($) компонента =
*
Отчет об анализе рисков
 Состав отчета:
 Активы (БП, ИС,
компоненты)
 Уязвимости
 Угрозы
 Вероятности
 Влияние на К, Ц, Д
 Риски
 Утверждение:
Комитет по ИБ
Разработка плана обработки рисков
 Состав плана:
 Риски
 Уязвимости
 Контрмеры или решения
по риску
 Ответственные
 Сроки
 Бюджет
 Утверждение: Комитет по ИБ
 Контроль исполнения: ИБ
 Оценка эффективности мер:
ИБ, аудит, Комитет по ИБ
Участники процесса управления рисками ИБ
1. ИБ и Владельцы бизнес-процессов –
оценка критичности активов
2. ИТ – декомпозиция систем на
компоненты
3. ИБ – поиск уязвимостей, анализ угроз и их
вероятности, анализ рисков, разработка
отчета по рискам и плана обработки
рисков
4. Комитет по ИБ – утверждение отчета по
рискам и плана обработки
5. ИБ – организация снижения рисков
6. Внутренний аудит – проверка работы
процесса
Регулярная оценка эффективности ИБ
 Источники информации:
 Внутренний аудит
 Внешний аудит
 Тесты на
проникновение
 Инциденты ИБ
 Действия:
 Планирование КД\ПД
 Анализ эффективности
ИБ на Комитете по ИБ
Вопросы?
21