WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные матриалы
 

«Риск ИБ, как составляющая операционного риска. Подходы к оценке и стратегия управления. Бажин А.И. CISA Москва 2015 Руководитель Службы ИБ Western Union East ...»

Риск ИБ, как составляющая операционного

риска. Подходы к оценке и стратегия

управления.

Бажин А.И. CISA

Москва 2015

Руководитель Службы ИБ Western Union East

ru.linkedin.com/in/andreybazhin/

Типичные вопросы ИБ

Как контролировать Как

ИБ? обеспечить

соответствие

Как найти узкие законодательс

места в тву?

Как разработать

процессах и

нормативную

предотвратить

базу?

?

фрод?

Как выстроить

Как оценить систему риск ИБ? управления ИБ?

Как определить Какие процессы и средства защиты аппетит к применить?

риску ИБ ? 2 COBIT 5 (модель контроля ИТ/ИБ) Раздел Цель ИТ среды (ИТ, ИБ и прочие сервисы) Соответствие: ИТ/ИБ - и бизнес стратеги Финансы Лидирующая роль высшего руководства в принятии решений в области ИТ/ИБ Управляемые бизнес-риски ИТ среды, соотв. законодат-ву и внутр. нор.

Реализация выгод от портфеля ИТ/ИБ инвестиций и услуг Прозрачность ИТ/ИБ-затрат, выгод и рисков Предоставление ИТ/ИБ-услуг в ответ на бизнес-требования Заказчик/ Адекватное использование приложений, информации и тех. решений клиенты Гибкость ИТ/ИБ, Оптимизация ресурсов и способностей; нормативы Внутр.

Безопасность информации Управлен Поддержка бизнес-процессов путем интеграции приложений и технол-й ие/процес сы Управление проектами в рамках сроков, бюджета и критериев качества Доступность надежной и нужной информации для принятия решений Обуч. и Компетентный и мотивированный персонал ИТ/ИБ; знания, экспертиза, развитие 3 мотивация Связь между ИТ и ИБ ИБ не может работать изолированно, ИБ опирается на силы и средства, предоставляемые ИТ средой (не ИТ службой, а в целом всеми процессами, так или иначе обеспечивающими операционную поддержку бизнеса в части ИТ и ИБ).

Это принцип модели COBIT, которая рассматривает информационную среду компании в целом, вне зависимости от организационной структуры.

Т.к. рассмотрение ИТ/ИБ изолированно с точки зрения подразделений, отвечающих за выполнение тех или иных функций приводит к неэффективной организации ИТ среды.

Закономерно, что управление рисками ИБ следует организовать в контексте общей системы управления рисками, что так же отражено в RISK SCENARIOS Using COBIT® 5 for Risk Как ответить на поставленные вопросы?

Нужно структурировать взаимосвязь между бизнесом и ИБ Взять за основу БИЗНЕС ПРОЦЕСС ИР – более низкий уровень абстракции и не подходит для взаимодействия с высшим руководством Вывод: информация должна защищаться исходя из категорий и охраноспособности в рамках БП, а не ИР, тем более, что в свете виртуализации и облаков ИР не всегда легко выделить 5 Карта сбалансированных показателей ИБ Финансовый результат Клиенты/контрагенты: защищенный ЖЦ информации в конкретном БП

–  –  –

Настроенная контрольная Предотвратить потери среда на присущие и значимые риски Программа управления рисками ИБ Позиционирование ИБ в контексте общей структуры управления рисками Оценка уровня зрелости ИБ – соотнесение с лучшими практиками и законодательством Анализ инцидентов ИБ и конкурентной среды, БД инцидентов Детальная проработка законодательной базы по операционному риску (ЦБ РФ, Базель ) Проектирование процесса: роли, ответственность, KRI и т.д.

Решение вопроса автоматизации GRC + ORM Вывод: обязательное применение системного подхода!

Взгляд инженера на риски и ИБ Контроли

–  –  –

Расследования / последствия и т.д.

Возникает вопрос: как попасть в зону возможностей?

Ответ: кроме рисков нет другой двери Методология и законодательство

2013. Президент РФ Путин В.В. :

- Подписание Политики ИБ России до 2020 года.

-Поручение ФСБ создать систему борьбы с кибератаками на российские ИР, ранее эта функция была у МВД;

ФСБ получает полномочия по оперативной работе в области ИБ Законодательство РФ: ~ 100 документов и подзаконных актов

- 149 ФЗ; 152 ФЗ, 5485-1 ФЗ, 99 ФЗ, 98 ФЗ, 63 ФЗ, 382 ФЗ «О ГИС ТЭК»

и подзаконные акты: ФСТЭК, ФСБ, ЦБ РФ, Минкомсвязи и т.д

Международные требования ИБ:

-семейство стандартов ISO 2700X и связанных с ними стандартов;

-COBIT, OWASP, NIST, CRAMM и т.д. порядка 500 документов разного уровня;

- Общее руководство по защите АСУ ТП - NIST SP800-82 и NIST SP800-53;

Вопросы:

•Как руководство узнает об изменениях законодательства в ИБ?

•Есть ли комитет или иной орган, где CISO может озвучить тему, определены ли правила принятия решений?

•Закреплено ли право CISO направлять оценку рисков соотв. законодательству?

•Кто взаимодействует с полицией по кибер преступности и инцидентам? 13 Результаты самооценки Соответствие целевому уровню: ISO 27001/2 и 152 ФЗ COBI for IS

–  –  –

процессы ИБ / методология конкуренты Мониторинг прессы, судебных решений… Информационное давление, репутация, срыв сделки (взломы сайтов, почтовых ящиков, мобильных устройств) - Увольнение Будберга из ВТБ, информация об отставке главы РЖД – Якунина; письма сотрудникам и т.д.

Мошенничество, хищение на рынке ценных бумаг хищение акций "Газпрома", 500 M р., дело МФЦ на 400 М р.

Хищение средств в системах клиент банк - по г. Москве ~9000 инцидентов за первое полугодие 2013 (данные ЦБ РФ) Риски в системах торгов Ситуация с Энергобанком – потери 243 млн рублей Пластик, касса, депозиты Взрывной рост вредоносного ПО для Смартфонов (особенно Android) Статистика ЦБ РФ Операционный риск – ЦБ РФ (банки) 346-П «о порядке расчета операционного риска»

69-Т «принципы надлежащего управления операционным риском»

70-Т « о типичных банковских рисках»

76 – Т «об организации управления операционным риском в КО»

96 - Т «о методических рекомендациях по организации КО внутренних процедур оценки достаточности капитала»

Операционный риск – ЦБ РФ (банки) 139-И «об обязательных нормативах банков»

2831-У «Об отчетности по обесп. ЗИ при переводах денежных средств …»

283 – П « о порядке формирования КО резервов на возможные потери»

–  –  –

Это значение риска, в случае превышения которого фиксируется переход на уровень выше, чем определено аппетитом к риску.

Пример: при слабых мерах управления BYOD – компания не может предоставить доступ с личных устройств более чем 5% сотрудников, при превышения значения 5% - срабатывает алерт;

–  –  –

Документирование и оценка рисков: каталог KRI, опросники / чек листы законодательства, встроенные сценарии оценки риска, ворк фло – описания, оценки и согласования, интерфейсы для интеграции с BCM, ITSM и тд База данных управления инцидентами Планирование мер управления риском KRI мониторинг и отчетность

Похожие работы:

«LCT DSR-2500 профессиональный ресивер/декодер Руководство по эксплуатации LCT DSR-2500 вас за приобретение профессионального ресивера-декодера. UБлагодарим Это руководство поможет вам установить, эксплуатировать и обслуживать ресивер. Внимательно прочитайте это руководство прежде, чем начинать пользоваться вашим аппаратом, и сохран...»

«Кира Гордович Типы героев в русской прозе 90-х годов Studia Rossica Posnaniensia 30, 41-47 STUDIA ROSSICA POSNANIENSIA, vol. XXX: 2002, pp. 41-47. ISBN 83-232-1199-X. ISSN 0081-6884 Adam Mickiewicz University Press, Pozna ТИПЫ ГЕРОЕВ В РУССКОЙ ПРОЗЕ 90-Х ГОДОВ TYPES OF CHARACTERS IN THE RUSSIAN PROSE OF 1990s. КИРА ГОРДОВИЧ ABSTRACT. The aut...»

«Mechanical Motion Solutions Danaher Motion Мы помогаем создать лучшие машины и быстрее Корпорация Danaher объединяет более 30 ведущих отраслевых марок, таких как Kollmorgen, Thomson, Dover, Pacific Scientific, Portescap, Neff, S...»

«Рек. МСЭ-R F.699-7 1 РЕКОМЕНДАЦИЯ МСЭ-R F.699-7* Эталонные диаграммы направленности антенн фиксированных беспроводных систем для использования при изучении вопросов координации и оценке помех в диапазоне час...»

«ПОЛИТИЧЕСКОЕ УПРАВЛЕНИЕ ИНСТИТУЦИОНАЛЬНЫЕ ЭФФЕКТЫ ТРАНСФОРМАЦИИ СИСТЕМ УПРАВЛЕНИЯ ОБЛАСТНЫМИ ЦЕНТРАМИ В УСЛОВИЯХ МУНИЦИПАЛЬНОЙ РЕФОРМЫ (НА МАТЕРИАЛАХ ЦЕНТРАЛЬНО-ЧЕРНОЗЕМНОГО РЕГИОНА) В. Б. Слатинов, К. Г. Ме...»

«Сообщения информационных агентств 04 февраля 2013 года, 19:30 Денежная масса в РФ в национальном определении в декабре выросла на 9,3%, в 2012г на 11,9% ЦБ Москва. 4 февраля. ИНТЕРФАКС-АФИ Денежная масса (аг...»

«Данный документ переведен и адаптирован Американским международным союзом здравоохранения (АМСЗ). Настоящий документ входит в Библиотеку Инфосети "Здоровье Евразии" www.eurasiahealth.org/. Ресурсы "Здоровья Евразии" предоставляются бесплатно и могут свободно распространяться. Электронную версию настоящего документа можно размещать на други...»

«Вісник АМУ серія "Техніка" Випуск 2 (10) – 2015 УДК 612.316 Кирик В.В., д-р.техн.наук, професор, завідувач кафедри електричних мереж та систем НТУУ "Київський політехнічний інститут"; Губатюк О.С., асистент кафедри електричних мереж та систем НТУУ "Київський політехнічний ін...»

«МЕТЕОРОЛОГИЯ М.Г. Дудник, А.Ю. Канухина, А.А. Власов РАСЧЕТ ИНДЕКСОВ КОНВЕКЦИИ С ИСПОЛЬЗОВАНИЕМ ДАННЫХ РАДИОЗАТМЕННОГО ЗОНДИРОВАНИЯ СПУТНИКОВ COSMIC/FORMOSAT M.G. Dudnic, A.Yu. Kanukhina, A.A. Vlasov CONVECTION INDICES DERIVED FROM COSMIC/FORMOSAT RADIO OCCULTATION SOUNDING DATA В статье описывается д...»









 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.