Презентація на тему:
Аналыз ризиків

Сучасні підходи до оцінки ризиків інформаційних технологій (на підтримку впровадження галузевих стандартів інформаційної безпеки ГСТУ СУІБ 1.0/ISO/IES 27001:2010 та ГСТУ СУІБ 2.0/ISO/IES 27002:2010) Володимир Ткаченко Директор ТОВ “Агентство активного аудиту” м. Київ - 2010 р.

Управління ризиками ІТ

Підходи до управління ІТ ризиками

Методології оцінки ІТ ризиків Методологія оцінки ризиків Національного Інституту Стандартів та Технологій США (National Institute of Standards and Technology – NIST) Методологія аналізу інформаційних ризиків Міжнародного Форуму з інформаційної безпеки (Information Risk Analysis Methodology – IRAM) Методологія аналізу факторів ризиків інформаційних технологій (Factor Analysis of Information Risk - FAIR) Методологія пропорційного аналізу ризиків (MESARI) Метод оцінки операційно критичних загроз, активів та уразливостей (Operationally critical threats, assets and vulnerability evaluation – OCTAVE)

Методика оцінки ризиків NIST

Оцінки ІТ ризиків згідно NIST Характеристика системи (активу) Заходи з оцінки ризиків Вхідні дані Вихідні дані Ідентифікація загроз Ідентифікація уразливостей Аналіз заходів захисту Імовірність реалізації загроз Апаратне та програмне забезпечення; Інтерфейси системи; Дані, що обробляються; Люди, що задіяні; Призначення системи. Межі застосування системи; Функції системи; Критичність даних, що обробляються; Чутливість системи до зовнішніх факторів. Історія виникнення системи; Дані від авторитетних джерел (дослідницькі агентства, NIPC, SANS, CIRT, мас-медіа). Поточний стан загроз. Звіти попередніх оцінок ризиків; Аудиторські рекомендації; Вимоги до безпеки; Результати тестів заходів безпеки. Перелік потенційних уразливостей. Існуючі заходи безпеки; Заплановані заходи безпеки. Список запроваджених та запланованих заходів безпеки. Мотивація джерела загрози; Можливість реалізації загрози; Природа уразливості; Ефективність існуючих заходів безпеки. Рейтинг імовірності реалізації загроз.

Оцінки ІТ ризиків згідно NIST Оцінка ризиків Заходи з оцінки ризиків Вхідні дані Вихідні дані Рекомендовані заходи безпеки Звітна документація Аналіз впливу на актив Аналіз впливу втрат (КЦД); Визначення критичності активу; Оцінка критичності інформації. Рейтинг активу (цінність для банку). Імовірність експлуатації загрози; Величина збитку; Адекватність запланованих або існуючих заходів безпеки. Ризики із визначеними рівнями. Рекомендовані заходи безпеки. Звіт по оцінці ризиків.

Методика оцінки ризиків FAIR

Приклад оцінки ризиків згідно FAIR Сценарій оцінки ризику Посадова особа з відділу кадрів великого банку записала пароль та логін на нотатку та приклеїла до монітору. Таким чином, це полегшує цій особі вхід до мережних ресурсів та на сервер для запуску програмного забезпечення відділу кадрів. Перед початком поміркуємо над співвідношенням рівня ризику та оцінимо ризик від цієї події… Кроки аналізу ризиків 1.1 Визначимо актив, на який впливає ризик (ПЗ та атрибути) 1.2 Визначимо чинники загрози (прибиральниця, інші співробітники, відвідувачі відділу, співробітники технічної підтримки, наймані особи) 2.1 Оцінимо можливу частоту виникнення загрози

Приклад оцінки ризиків згідно FAIR Кроки аналізу ризиків 2.2 Визначимо можливість реалізації загрози (знання та досвід) 2.3 Визначимо рівень захищеності активу (знання та досвід)

Приклад оцінки ризиків згідно FAIR Кроки аналізу ризиків 2.4 Визначимо уразливість активу (зусилля для отримання доступу – рівень захищеності активу) 2.5 Визначимо частоту виникнення втрат (втрати конфіденційності активу)

Приклад оцінки ризиків згідно FAIR Кроки аналізу ризиків 3.1 Визначимо втрати в найгіршому випадку 3.2 Визначимо величину можливих втрат

Приклад оцінки ризиків згідно FAIR Кроки аналізу ризиків 4.1 Вимірюємо та формалізуємо ризик

Методика оцінки ризиків MESARI

Прийняття ризиків (ризик усунуто, знижено або залишковий ризик) Аналіз поточного рівня захищеності (існуючі заходи безпеки) Вибір адекватних заходів безпеки Покриття ризиків (усунення причин виникнення та перелік можливих заходів безпеки) Детальний аналіз ризиків (можливі сценарії реалізації ризиків) Методика оцінки ризиків MESARI Опис та визначення проблемних питань Рішення Оцінка ризиків Оцінка можливості застосування заходів безпеки

Методика оцінки ризиків OCTAVE

Приклад оцінки ризиків по методу OCTAVE Allegro Worksheet 1 ВИМІРЮВАННЯ РИЗИКУ (КРИТЕРІЙ – РЕПУТАЦІЯ ТА ЛОЯЛЬНІСТЬ КЛІЄНТІВ) Галузь під впливом ризику Малий Значний Високий Репутація Мінімальний вплив на репутацію; незначні кошти для відновлення репутації. Репутація зазнає значних втрат, що потребує значних коштів для відновлення. Репутація знищена до стану з якого неможливе відновлення. Втрата клієнтів Менш ніж _______% зменшення клієнтської бази в наслідок втрати довіри Від ______ до _______% зменшення клієнтської бази в наслідок втрати довіри Більш ніж _______% зменшення клієнтської бази в наслідок втрати довіри Інше: Allegro Worksheet 2 ВИМІРЮВАННЯ РИЗИКУ (КРИТЕРІЙ – ФІНАНСИ) Галузь під впливом ризику Малий Значний Високий Операційні витрати Зростання на _______% річних операційних витрат Зростання річних операційних витрат від _______до _______%. Зростання річних операційних витрат більш ніж_______%. Втрата прибутку Втрата _______% річного прибутку Втрати від ______ до _______% річного прибутку Втрати більш ніж_______% річного прибутку Одноразові фінансові страти Одноразові фінансові втрати на суму менш ніж ____________ грн. Одноразові фінансові втрати на суму від___________ до _______________ грн. Одноразові фінансові втрати на суму більш ніж_____________грн. Інше:

Методика оцінки ризиків IRAM

Проведення оцінки ризиків згідно IRAM

Узагальнення процесу аналізу ІТ ризиків

Порівняння методів оцінки Метод оцінки Переваги Недоліки NIST Детальний опис всіх ризиків для активів; Найбільше підходить для відносно великих організацій. Довготривалий процес Деякі функції не автоматизовані FAIR Надає кількісний аналіз ризиків Забезпечує симуляційну модель системи Занадто “науковий” метод Тільки для відносно великих банків MESARI Спрямований на банківську діяльність Підходить для нових (новостворюваних) активів (проектів) Важко запровадити для існуючих активів Достатня складність Відсутність автоматизації процесів оцінки OCTAVE Швидко впроваджується Добре застосовується для будь-якої організації Важкість реалізації окремих етапів та відсутність автоматизації Не спрямований на специфіку банківської сфери IRAM Відносна простота впровадження Зрозумілість для менеджерів банківських установ Є приклади успішного застосування Відносно дорогий Краще застосовується до існуючих інформаційних активів.

Висновки Методики оцінки ІТ ризиків повинні враховувати специфіку банківської справи (НБУ буде рекомендувати власну методику ) Окремі етапи оцінки ІТ ризиків повністю автоматизовані; - розроблені (або розробляються) системні утиліти для оцінки ризиків; - надаються утиліти для моделювання загроз та уразливостей; - є програмне забезпечення та документи для проведення оцінки. Необхідно готувати персонал для проведення аудиту інформаційної безпеки (внутрішнього та зовнішнього) та управління ризиками ІТ Необхідно забезпечити впровадження методики та консультаційну підтримку

Запитання info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88