嶋・2-15
.pptУправление информационной безопасностью
Учебная дисциплина УИБ Тема 2
Концептуальные подходы к управлению рисками информационной безопасности
Толстой Александр Иванович
к.т.н., доцент Доцент кафедры «Информационная безопасность
банковских систем» НИЯУ МИФИ,
Факультет «Кибернетика и информационная безопасность»,
кафедра
Москва, сентябрь 2015
Управление ИБ |
Тема 2 |
Концептуальные подходы к управлению рисками информационной безопасности
•Почему «управление рисками ИБ»?
•Нормативная база управления рисками ИБ
•Термины и определения
•Составляющие управления рисками ИБ
•Системный подход к управлению рисками ИБ
•Установление контекста управления рисками ИБ
2
УИБ |
Тема 2 |
Почему «управление рисками ИБ»?
Современный подход: новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
«флаги» новой парадигмы:
Главный «флаг»: Управление информационной безопасности
Составляющие «флага»: 1.Управление рисками ИБ. 2.Управление инцидентами ИБ.
3.Проверка и оценка деятельности по управлению ИБ
4.Взаимодействие с управлением непрерывностью
бизнеса
3
УИБ |
Тема 2 |
2.Концептуальные подходы к управлению рисками ИБ Почему «управление рисками ИБ»?
Современный подход: новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.
Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
НО! Источник угрозы – СУБЪЕКТ (физическое лицо) |
4 |
= НАРУШИТЕЛЬ |
|
УИБ |
Тема 2 |
Базовыми процессами УИБ являются: |
|
|
- |
Управление рисками ИБ – основа деятельности |
|
- |
по обеспечению ИБ. |
|
«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335-1-2006];
«Угроза ИБ» - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ГОСТ Р 50922-2006];
«Уязвимость» (бреш) (vulnerability) - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами [ГОСТ Р ИСО/МЭК 13335-1-2006];
Если уязвимость соответствует угрозе, то существует риск (ИСО 2382-8:1998)
5
УИБ |
Тема 2 |
2.Концептуальные подходы к управлению рисками ИБ Почему «управление рисками ИБ»?
Разработки и реализация ПолИБ
Оценка
рисков
ИБ
УИБ |
Тема 2 |
2.Концептуальные подходы к управлению рисками ИБ Почему «управление рисками ИБ»?
Разработки и реализация ПолИБ
Оценка
рисков
ИБ
Что
защищае
м?
УИБ |
Тема 2 |
2.Концептуальные подходы к управлению рисками ИБ Почему «управление рисками ИБ»?
Разработки и реализация ПолИБ
От чего защищае
м?
Оценка
рисков
ИБ
Что
защищае
м?
УИБ |
Тема 2 |
2.Концептуальные подходы к управлению рисками ИБ Почему «управление рисками ИБ»?
Разработки и реализация ПолИБ
Оценка
рисков
ИБ
Что
защищае
м?
От чего защищае
м?
Как
защищае
м?
УИБ |
Тема 2 |
2.Концептуальные подходы к управлению рисками ИБ Почему «управление рисками ИБ»?
Основные процессы СУИБ
Управле
ние
рисками
ИБ
Управление рисками ИБ – один из процессов СУИБ |
10 |
|