sec101-lec02-pub презентация

Июль 30, 2022

Содержание

2. Содержание лекции Управление рисками Основные понятия Оценка рисков Уменьшение рисков Остаточный риск Аудит информационной безопасности Механизмы
3. Основные понятия Ресурсы (assets) — это то, что организация ценит и хочет защитить. Ресурсы включают в
4. Оценка риска Оценка риска — основной процесс в методологии управления риском. Риск является функцией вероятности того,
5. Что включает в себя оценка риска? характеристика системы идентификация угроз идентификация уязвимостей анализ средств защиты определение
6. Характеристика системы Включает в себя: описание системы, системных компонентов, элементов системы, пользователей и т. п. расположение
7. Идентификация угроз
8. Идентификация уязвимостей Документированные источники: результаты предыдущих оценок риска отчеты аудита ИТ системы, отчеты о системных аномалиях,
9. Анализ средств защиты Анализ применяемых или планируемых к применению средств защиты (контроля) в организации для минимизации
10. Определение вероятностей Факторы: движущая сила (мотивация) и способность источника угроз природа уязвимости существование и эффективность текущего
11. Анализ влияния Цель состоит в определении нежелательного влияния успешной реализации уязвимостей угрозами. Оценка степени влияния
12. Определение риска Цель – оценить уровень риска ИТ системы. Определение риска для частной пары угроза-уязвимость может
13. Рекомендации по средствам защиты Целью рекомендаций является уменьшение уровня риска ИТ системе и ее данным до
14. Результирующая документация Результаты должны быть представлены в виде официального отчета. Соответствующий отчет по оценке риска описывает:
15. Уменьшение рисков Операций уменьшения риска: принятие риска уклонение от риска ограничение риска планирование риска исследования и
16. Уменьшение рисков
17. Остаточный риск Процедуры уменьшения уровня риска
18. Аудит информационной безопасности Аудит информационной системы – это системный процесс получения и оценки объективных данных о
20. Скачать презентацию

Слайд 2

Содержание лекции
Управление рисками
Основные понятия
Оценка рисков
Уменьшение рисков
Остаточный риск
Аудит информационной безопасности
Механизмы и сервисы

защиты

Слайд 3

Основные понятия
Ресурсы (assets) — это то, что организация ценит и хочет

защитить. Ресурсы включают в себя информацию и поддерживающие средства, которые требуются организации для ведения бизнеса.
Угроза (threat) — потенциальная причина нежелательного события, которое может нанести ущерб организации и ее объектам.
Уязвимости (vulnerability) — слабости, ассоциированные с ресурсами организации.
Риск безопасности — возможность данной угрозы реализовать уязвимости для того, чтобы вызвать ущерб или разрушение ресурса или группы ресурсов, что прямо или косвенно воздействует на организацию.
Контроль безопасности — практика, процедуры и механизмы, которые могут защитить объекты от угроз, уменьшить уязвимости или уменьшить влияние нежелательных событий.

Слайд 4

Оценка риска
Оценка риска — основной процесс в методологии управления риском. Риск

является функцией вероятности того, что данный источник угроз осуществит частную потенциальную уязвимость, и результирующего влияния нежелательного события на организацию.

Слайд 5

Что включает в себя оценка риска?
характеристика системы
идентификация угроз
идентификация уязвимостей
анализ средств защиты
определение

вероятностей
анализ влияния
определение риска
рекомендации по средствам защиты
результирующая документация

Слайд 6

Характеристика системы
Включает в себя:
описание системы, системных компонентов, элементов системы, пользователей и

т. п.
расположение частей (подразделений) организации
основные информационные потоки
классификация информации

Слайд 7

Идентификация угроз

Слайд 8

Идентификация уязвимостей
Документированные источники:
результаты предыдущих оценок риска
отчеты аудита ИТ системы, отчеты о

системных аномалиях, отчеты с обзорами безопасности, отчеты системных тестах и оценках
списки уязвимостей
информационные бюллетени по безопасности
информационные бюллетени изготовителей
коммерческие компании, выполняющие функции информационного аудита безопасности
анализ безопасности системного ПО
тестирование системной безопасности
Методы тестирования:
средства автоматического сканирования уязвимостей
тесты и оценка безопасности
тесты на проникновение

Слайд 9

Анализ средств защиты
Анализ применяемых или планируемых к применению средств защиты (контроля)

в организации для минимизации или устранения вероятности уязвимости, реализуемой источником угроз.

Слайд 10

Определение вероятностей
Факторы:
движущая сила (мотивация) и способность источника угроз
природа уязвимости
существование и эффективность

текущего контроля
Значения уровней вероятностей

Слайд 11

Анализ влияния
Цель состоит в определении нежелательного влияния успешной реализации уязвимостей угрозами.
Оценка

степени влияния

Слайд 12

Определение риска
Цель – оценить уровень риска ИТ системы.
Определение риска для

частной пары угроза-уязвимость может быть выражена как функция:
от вероятности того, что данный источник угроз пытается реализовать данную уязвимость;
величины влияния при удачной реализации источником угроз уязвимости;
достаточности планируемого или существующего контроля для уменьшения или устранения риска
Матрица уровней (классов) рисков

Слайд 13

Рекомендации по средствам защиты
Целью рекомендаций является уменьшение уровня риска ИТ системе

и ее данным до допустимого уровня.
Рекомендации по средствам защиты (контроля) являются результатом процесса оценки риска и дают исходные данные для процесса уменьшения риска, во время которого оценивается рекомендуемый процедурный и технический контроль безопасности, назначаются приоритеты и выполняются планы покупки и внедрения различных средств.

Слайд 14

Результирующая документация
Результаты должны быть представлены в виде официального отчета.
Соответствующий отчет по

оценке риска описывает:
угрозы
Уязвимости
измерения риска
дает рекомендации по применению средств защиты

Слайд 15

Уменьшение рисков
Операций уменьшения риска:
принятие риска
уклонение от риска
ограничение риска
планирование риска
исследования и подтверждения
передача

риска

Слайд 16

Уменьшение рисков

Слайд 17

Остаточный риск
Процедуры уменьшения уровня риска

Слайд 18

Аудит информационной безопасности
Аудит информационной системы – это системный процесс получения и

оценки объективных данных о текущем состоянии системы (технологий), действиях и событиях, происходящих в ней, который устанавливает уровень их соответствия определенному критерию и предоставляет результаты заказчику.
Виды аудита информационной безопасности:
внешний
внутренний

sec101-lec02-pub презентация

Содержание

Содержание лекцииУправление рискамиОсновные понятияОценка рисковУменьшение рисковОстаточный рискАудит информационной безопасностиМеханизмы и сервисы

Основные понятияРесурсы (assets) — это то, что организация ценит и хочет

Оценка рискаОценка риска — основной процесс в методологии управления риском. Риск

Что включает в себя оценка риска?характеристика системыидентификация угрозидентификация уязвимостейанализ средств защитыопределение

Характеристика системыВключает в себя:описание системы, системных компонентов, элементов системы, пользователей и

Идентификация угроз

Идентификация уязвимостейДокументированные источники:результаты предыдущих оценок рискаотчеты аудита ИТ системы, отчеты о

Анализ средств защитыАнализ применяемых или планируемых к применению средств защиты (контроля)

Определение вероятностейФакторы:движущая сила (мотивация) и способность источника угрозприрода уязвимостисуществование и эффективность

Анализ влиянияЦель состоит в определении нежелательного влияния успешной реализации уязвимостей угрозами.Оценка

Определение рискаЦель – оценить уровень риска ИТ системы. Определение риска для

Рекомендации по средствам защитыЦелью рекомендаций является уменьшение уровня риска ИТ системе

Результирующая документацияРезультаты должны быть представлены в виде официального отчета.Соответствующий отчет по

Уменьшение рисковОпера­ций уменьшения риска:принятие рискауклонение от рискаограничение рискапланирование рискаисследования и подтвержденияпередача