ISM4 презентация

подхода
Обзор используемого продукта

25999)
Процесс или набор процессов, которые производят или поддерживают один или несколько продуктов и услуг
Актив (ISO 13335)
Что угодно, имеющее значение для организации
Угроза (ISO 13335)
Потенциальная причина возникновения инцидента, который может принести вред
Уязвимость (ISO 13335)
Недостаток в активе или группе активов, который может способствовать реализации угрозы
Событие ИБ (ISO 18044)
Идентифицированное нахождение системы, сервиса или сети в состоянии, свидетельствующей о возможных нарушениях требований ИБ или в неизвестном состоянии, которое может быть важным с точки зрения ИБ

или несколько неожидаемых событий ИБ, которые со значительной вероятностью угрожают бизнес-процессам
Ущерб (ISO 25999)
Негативные последствия инцидента, которые влияют на достижение целей организации
Риск (ISO 73)
Комбинация вероятности события (инцидента) ИБ и его последствий (ущерба)
Защитная мера (ISO 17799)
Средство управления риском
Непрерывность бизнеса (ISO 25999)
Стратегическая и тактическая способность организации планировать и осуществлять реагирование на инциденты в целях обеспечения предоставления сервисов на заранее определенном уровне

NIST SP 800-53
BS 25999 часть 1:2006 и часть 2:2007
ISO/IEC TR 18044:2004
ISO/IEC Guide 73:2002
PAS 77:2006
… и другие

min → Затраты на обеспечение ИБ

{

Эффективное управление соответствием требованиям законодательства и бизнес-требованиям в области ИБ;
Предупреждение возникновения инцидентов ИБ и снижения ущерба в случае их возникновения;
Повышение культуры ИБ в организации;
Повышение зрелости в области управления обеспечением ИБ;
Оптимизация расходования средств на обеспечение ИБ.

пользователя Acuity Stream

Процедура Внутреннего аудита

Роли и обязанности

Реестры рисков

Отчеты об аудите

активов

Идентифи-цированные риски

Справочник контрмер

Отчет об оценке и обработке рисков

Угроза
Актив
Возможные виды воздействия
Уровень ущерба
Оценка риска
Стратегия обработки риска
Применимые защитные меры
Требования к защитным мерам

Утечка
Перерыв
Case: Модификация
Резюме

и голосование
Общее голосование по списку систем

управления обеспечением ИБ
ведется параллельно с оценкой рисков
позволяет начать работы по повышению уровня ИБ по всей структуре, не дожидаясь оценки рисков
статус оперативно контролируется с использованием Stream
показывает соответствие организации мировому уровню

и ОТ;
проведение вводного курса по управлению рисками ИБ с использованием Acuity Stream и назначение ролей в рабочей группе;
сбор исходных данных для проведения оценки рисков, в том числе с проведением собеседований с представителями ИТ- и бизнес-подразделений в пилотной зоне:
каталогизация ИТ-ориентированных активов

специалистов Организации работе с ним;
проведение оценки и обработки рисков;
определение уровня зрелости контрмер;
выстраивание процессов принятия решений в области обеспечения ИБ совместно представителями бизнес- и ИТ-подразделений;
доработка и адаптация комплекта документации;