SlideShare ist ein Scribd-Unternehmen logo

Управление рисками ИБ: отдельные практические аспекты

Aleksey Lukatskiy
Aleksey Lukatskiy
TechnologieBildung
1 von 20
Downloaden Sie, um offline zu lesen
Управление рисками – профанация или реальность? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/20
“Вы не можете эффективно управлять тем, что вы не можете измерить. И вы не можете измерить то, что вы не определили” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/20
Что такое риск?  Вероятная частота и вероятная величина будущих потерь Метод FAIR  Сочетание вероятности события и его последствий ГОСТ Р 51901-2002  Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005  Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/20
Что такое риск?  Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект)  Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг Хаббард InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/20
Элементы риска  Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее  Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/20
Вероятность возникновения риска Считаем самостоятельно Используем готовую статистику Собственная Чужая InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/20
Вероятность возникновения риска  У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.! Мы не знаем условий, при которых произошел инцидент Мы не имеем деталей по каждому респонденту Средняя температура по больнице  Пример: риски для АСУ ТП Небольшое число внедрений Публичной статистики нет (базы BCIT и INL не в счет) Статистики вендоров нет – «закрытые» технологии Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП Экспертных оценок в России нет InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/20
Считаем самостоятельно Сила защитной меры Уязвимость Возможности нарушителя Вероятность Наличие доступа Угроза Действие InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/20
А оцениваем ли мы риски нарушителя?  Профиль (модель) нарушителя Мотив (причина) Цель «Спонсор» (кто помогает ресурсами?) Потенциальные возможности Озабоченность косвенным ущербом Приемлемый уровень риска InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/20
Оценка потерь  Анализ риска не может быть осуществлен без оценки потерь Потеря в природе риска. Без потерь рисков не бывает  Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам  Особенности оценки потерь Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках… Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/20
Почему сложно считать?  Информационный актив может иметь разную ценность В разное время, для разных аудиторий, в разных бизнес- процессах  Потери могут принимать разные формы  Одно событие может быть причиной нескольких форм потерь  Сложные взаимосвязи между разными формами потерь  Объем потерь определяется множеством факторов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/20
Формы потерь • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акций InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/20
Нематериальные активы  Оценка последствий тесно увязана со стоимостью информационного актива Рыночная стоимость Стоимость актива в использовании Инвестиционная стоимость  3 основных подхода оценки НМА Затратный Доходный Рыночный InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/20
Качество/количество: кому доверять? Качественная оценка Количественная оценка  Отсутствие количественной оценки не позволяет Оценить адекватность затрат на снижение рисков Оценить возможность перекладывания рисков Продемонстрировать снижение рисков Сравнить текущий уровень с предыдущими значениями InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/20
Как считать?  AS/NZS 4360  NIST SP 800-3  HB 167:200X  SOMAP  EBIOS  Lanifex Risk Compass  ISO 27005 (ISO/IEC IS  Austrian IT Security 13335-2) Handbook  MAGERIT  на основе CRAMM  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3  ISO 31000 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/20
“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/20
Взглянем с точки зрения заказчика  Методики оценки рисков представляются интеграторами и консультантами …которые заинтересованы в продаже своих продуктов и услуг  Признаки хорошей методики управления рисками Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы? Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз и размер ущерба и вероятность? Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/20
Управление рисками и шаманство  Управление рисками сегодня это больше искусство, чем наука  Управление рисками похоже на шаманство Битье в бубен, бросание костей – отсутствие рационального объяснения своего выбора и «почему это работает» Заветы предков – Best Practices Интуиции и опыт хороши, но…  А какой риск приемлем?.. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/20
Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/20
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/20

Empfohlen

Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Customer Profiling&Targeted Advertisement
Customer Profiling&Targeted AdvertisementCustomer Profiling&Targeted Advertisement
Customer Profiling&Targeted Advertisement2tique
 
IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?2tique
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact AnalysisAleksey Lukatskiy
 
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovIntro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovSvetlin Nakov
 
Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520beewolf
 
IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)Alexander Klimov
 
Grape Online Strategy Cases
Grape Online Strategy CasesGrape Online Strategy Cases
Grape Online Strategy CasesHUNGRY BOYS Creative agency
 

Empfohlen

Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Customer Profiling&Targeted Advertisement
Customer Profiling&Targeted AdvertisementCustomer Profiling&Targeted Advertisement
Customer Profiling&Targeted Advertisement2tique
 
IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?IP в телевидении или телевидение в IP?
IP в телевидении или телевидение в IP?2tique
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact AnalysisAleksey Lukatskiy
 
Intro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovIntro To RDBMS And SQL Server 2005 - Svetlin Nakov
Intro To RDBMS And SQL Server 2005 - Svetlin NakovSvetlin Nakov
 
Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520Taleb's Black Swan - SG 20090520
Taleb's Black Swan - SG 20090520beewolf
 
IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)IBM Jazz - A New Approach For Software Development (In Russian)
IBM Jazz - A New Approach For Software Development (In Russian)Alexander Klimov
 
Grape Online Strategy Cases
Grape Online Strategy CasesGrape Online Strategy Cases
Grape Online Strategy CasesHUNGRY BOYS Creative agency
 
Обеспечение безопасности web приложений
Обеспечение безопасности web приложенийОбеспечение безопасности web приложений
Обеспечение безопасности web приложенийSQALab
 
Cisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиCisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиguest813d253
 
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieCisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieMichael Ganschuk
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898Azerbaijan Laws
 
Сегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследованияСегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследованияabramamama
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146Turkmenistan Laws
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and CrisisAleksey Lukatskiy
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966Armenia Laws
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701Azerbaijan Laws
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479Turkmenistan Laws
 
The President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - DariThe President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - DariObama White House
 
The President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - PunjabiThe President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - PunjabiObama White House
 
норма санпин
норма санпиннорма санпин
норма санпинhelen-66
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667Turkmenistan Laws
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689Turkmenistan Laws
 
Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Tatsuo Kudo
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716Azerbaijan Laws
 
توافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهامتوافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهامahmad soodavar
 
The President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - UrduThe President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - UrduObama White House
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457Azerbaijan Laws
 
Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Aleksey Lukatskiy
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurementAleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

Обеспечение безопасности web приложений
Обеспечение безопасности web приложенийОбеспечение безопасности web приложений
Обеспечение безопасности web приложенийSQALab
 
Cisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиCisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиguest813d253
 
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieCisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieMichael Ganschuk
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898Azerbaijan Laws
 
Сегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследованияСегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследованияabramamama
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146Turkmenistan Laws
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966Armenia Laws
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701Azerbaijan Laws
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479Turkmenistan Laws
 
The President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - DariThe President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - DariObama White House
 
The President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - PunjabiThe President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - PunjabiObama White House
 
норма санпин
норма санпиннорма санпин
норма санпинhelen-66
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667Turkmenistan Laws
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689Turkmenistan Laws
 
Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Tatsuo Kudo
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716Azerbaijan Laws
 
توافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهامتوافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهامahmad soodavar
 
The President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - UrduThe President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - UrduObama White House
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457Azerbaijan Laws
 

Was ist angesagt? (20)

Обеспечение безопасности web приложений
Обеспечение безопасности web приложенийОбеспечение безопасности web приложений
Обеспечение безопасности web приложений
 
Cisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержкиCisco Web Ex создание центра технической поддержки
Cisco Web Ex создание центра технической поддержки
 
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanieCisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
Cisco collaboration. 8_oktiabria_biznes-trek_litsenzirovanie
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3898
 
Сегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследованияСегментация рынка и сегментационные исследования
Сегментация рынка и сегментационные исследования
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 146
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 1966
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3701
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 1479
 
The President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - DariThe President’s Speech in Cairo: A New Beginning - Dari
The President’s Speech in Cairo: A New Beginning - Dari
 
The President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - PunjabiThe President’s Speech in Cairo: A New Beginning - Punjabi
The President’s Speech in Cairo: A New Beginning - Punjabi
 
норма санпин
норма санпиннорма санпин
норма санпин
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2667
 
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
俄罗斯进出口标准,技术规格,法律,法规,中英文,目录编号RG 2689
 
Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009Identity Technology Trend Overview, February 2009
Identity Technology Trend Overview, February 2009
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3716
 
توافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهامتوافق نامه خريد و فروش اينترنتي سهام
توافق نامه خريد و فروش اينترنتي سهام
 
The President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - UrduThe President’s Speech in Cairo: A New Beginning - Urdu
The President’s Speech in Cairo: A New Beginning - Urdu
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3457
 

Andere mochten auch

Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Aleksey Lukatskiy
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurementAleksey Lukatskiy
 
Операционный риск в коммерческом банке
Операционный риск в коммерческом банкеОперационный риск в коммерческом банке
Операционный риск в коммерческом банкеVeronica Narozhnaya
 
4. курс лекций афу
4. курс лекций афу4. курс лекций афу
4. курс лекций афуGKarina707
 
4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfctomik1044
 
Модели смешанного обучения
Модели смешанного обученияМодели смешанного обучения
Модели смешанного обученияElena Tikhomirova
 
Повышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рискамиПовышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рискамиAlexei Sidorenko, CRMP
 
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»Infor-media
 
Управление рисками. Когда и как?
Управление рисками. Когда и как?Управление рисками. Когда и как?
Управление рисками. Когда и как?Infor-media
 
Поиск статистических данных
Поиск статистических данныхПоиск статистических данных
Поиск статистических данныхlibusue
 
риск. управление рисками(основа)
риск. управление рисками(основа)риск. управление рисками(основа)
риск. управление рисками(основа)TerminalGaz
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurementAleksey Lukatskiy
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 

Andere mochten auch (20)

Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
 
Операционный риск в коммерческом банке
Операционный риск в коммерческом банкеОперационный риск в коммерческом банке
Операционный риск в коммерческом банке
 
Риск менеджмент
Риск менеджментРиск менеджмент
Риск менеджмент
 
4. курс лекций афу
4. курс лекций афу4. курс лекций афу
4. курс лекций афу
 
374164
374164374164
374164
 
4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc
 
Модели смешанного обучения
Модели смешанного обученияМодели смешанного обучения
Модели смешанного обучения
 
Повышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рискамиПовышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рисками
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
 
Lecture 9 chi_t_f
Lecture 9 chi_t_fLecture 9 chi_t_f
Lecture 9 chi_t_f
 
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
 
Управление рисками. Когда и как?
Управление рисками. Когда и как?Управление рисками. Когда и как?
Управление рисками. Когда и как?
 
Поиск статистических данных
Поиск статистических данныхПоиск статистических данных
Поиск статистических данных
 
риск. управление рисками(основа)
риск. управление рисками(основа)риск. управление рисками(основа)
риск. управление рисками(основа)
 
FRM Lecture 3
FRM Lecture 3FRM Lecture 3
FRM Lecture 3
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurement
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
 

Ähnlich wie Управление рисками ИБ: отдельные практические аспекты

Background Examples From Eu Ru
Background Examples From Eu RuBackground Examples From Eu Ru
Background Examples From Eu RuVictor Gridnev
 
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin NakovJava For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin NakovSvetlin Nakov
 
Minsk Jazz 190509 Templ
Minsk Jazz 190509 TemplMinsk Jazz 190509 Templ
Minsk Jazz 190509 Templsef2009
 
Учет рабочего времени сотрудников: полное руководство
Учет рабочего времени сотрудников: полное руководство Учет рабочего времени сотрудников: полное руководство
Учет рабочего времени сотрудников: полное руководство Yaware
 
Jazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПОJazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПОSQALab
 
Social Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex NetworksSocial Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex NetworksOleg Nazarevych
 
Aids 14.01.2009
Aids 14.01.2009Aids 14.01.2009
Aids 14.01.2009Oleg Zorak
 
Aids 14.01.2009
Aids 14.01.2009Aids 14.01.2009
Aids 14.01.2009Oleg Zorak
 
Розробка уроку з англійської мови.
Розробка уроку з англійської мови.Розробка уроку з англійської мови.
Розробка уроку з англійської мови.ssuser672c3e
 
vSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 маяvSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 маяAnton Antich
 
норма санпин
норма санпиннорма санпин
норма санпинhelen-66
 
Fair
FairFair
Fairgtrus
 
Delivery of media content of IIS Media Services
Delivery of media content of IIS Media ServicesDelivery of media content of IIS Media Services
Delivery of media content of IIS Media ServicesSQALab
 
Библейские истории: Животные
Библейские истории: ЖивотныеБиблейские истории: Животные
Библейские истории: ЖивотныеFreekidstories
 
ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.Matweika
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897Azerbaijan Laws
 

Ähnlich wie Управление рисками ИБ: отдельные практические аспекты (20)

Beauty
BeautyBeauty
Beauty
 
Background Examples From Eu Ru
Background Examples From Eu RuBackground Examples From Eu Ru
Background Examples From Eu Ru
 
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin NakovJava For Digitally Signing Documents In Web Book - Svetlin Nakov
Java For Digitally Signing Documents In Web Book - Svetlin Nakov
 
Minsk Jazz 190509 Templ
Minsk Jazz 190509 TemplMinsk Jazz 190509 Templ
Minsk Jazz 190509 Templ
 
Учет рабочего времени сотрудников: полное руководство
Учет рабочего времени сотрудников: полное руководство Учет рабочего времени сотрудников: полное руководство
Учет рабочего времени сотрудников: полное руководство
 
Jazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПОJazz – открытая платформа разработки ПО
Jazz – открытая платформа разработки ПО
 
Social Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex NetworksSocial Bookmarks, Folksonomies–Complex Networks
Social Bookmarks, Folksonomies–Complex Networks
 
Aids 14.01.2009
Aids 14.01.2009Aids 14.01.2009
Aids 14.01.2009
 
Aids 14.01.2009
Aids 14.01.2009Aids 14.01.2009
Aids 14.01.2009
 
Hiv
HivHiv
Hiv
 
EU Competition Policy
EU Competition PolicyEU Competition Policy
EU Competition Policy
 
Розробка уроку з англійської мови.
Розробка уроку з англійської мови.Розробка уроку з англійської мови.
Розробка уроку з англійської мови.
 
vSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 маяvSphere Launch Business Keynote - Москва, 26 мая
vSphere Launch Business Keynote - Москва, 26 мая
 
L`Oreal BTL campaign
L`Oreal BTL campaignL`Oreal BTL campaign
L`Oreal BTL campaign
 
норма санпин
норма санпиннорма санпин
норма санпин
 
Fair
FairFair
Fair
 
Delivery of media content of IIS Media Services
Delivery of media content of IIS Media ServicesDelivery of media content of IIS Media Services
Delivery of media content of IIS Media Services
 
Библейские истории: Животные
Библейские истории: ЖивотныеБиблейские истории: Животные
Библейские истории: Животные
 
ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.ТЕХНИКА ВЗЛОМА.
ТЕХНИКА ВЗЛОМА.
 
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
俄语GOST标准,技术规范,法律,法规,中文英语,目录编号RG 3897
 

Mehr von Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 

Mehr von Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Kürzlich hochgeladen

Why Teams call analytics are critical to your entire business
Why Teams call analytics are critical to your entire businessWhy Teams call analytics are critical to your entire business
Why Teams call analytics are critical to your entire businesspanagenda
 
Axa Assurance Maroc - Insurer Innovation Award 2024
Axa Assurance Maroc - Insurer Innovation Award 2024Axa Assurance Maroc - Insurer Innovation Award 2024
Axa Assurance Maroc - Insurer Innovation Award 2024The Digital Insurer
 
Exploring the Future Potential of AI-Enabled Smartphone Processors
Exploring the Future Potential of AI-Enabled Smartphone ProcessorsExploring the Future Potential of AI-Enabled Smartphone Processors
Exploring the Future Potential of AI-Enabled Smartphone Processorsdebabhi2
 
A Beginners Guide to Building a RAG App Using Open Source Milvus
A Beginners Guide to Building a RAG App Using Open Source MilvusA Beginners Guide to Building a RAG App Using Open Source Milvus
A Beginners Guide to Building a RAG App Using Open Source MilvusZilliz
 
Cloud Frontiers: A Deep Dive into Serverless Spatial Data and FME
Cloud Frontiers: A Deep Dive into Serverless Spatial Data and FMECloud Frontiers: A Deep Dive into Serverless Spatial Data and FME
Cloud Frontiers: A Deep Dive into Serverless Spatial Data and FMESafe Software
 
EMPOWERMENT TECHNOLOGY GRADE 11 QUARTER 2 REVIEWER
EMPOWERMENT TECHNOLOGY GRADE 11 QUARTER 2 REVIEWEREMPOWERMENT TECHNOLOGY GRADE 11 QUARTER 2 REVIEWER
EMPOWERMENT TECHNOLOGY GRADE 11 QUARTER 2 REVIEWERMadyBayot
 
Apidays New York 2024 - The value of a flexible API Management solution for O...
Apidays New York 2024 - The value of a flexible API Management solution for O...Apidays New York 2024 - The value of a flexible API Management solution for O...
Apidays New York 2024 - The value of a flexible API Management solution for O...apidays
 
Apidays New York 2024 - Scaling API-first by Ian Reasor and Radu Cotescu, Adobe
Apidays New York 2024 - Scaling API-first by Ian Reasor and Radu Cotescu, AdobeApidays New York 2024 - Scaling API-first by Ian Reasor and Radu Cotescu, Adobe
Apidays New York 2024 - Scaling API-first by Ian Reasor and Radu Cotescu, Adobeapidays
 
GenAI Risks & Security Meetup 01052024.pdf
GenAI Risks & Security Meetup 01052024.pdfGenAI Risks & Security Meetup 01052024.pdf
GenAI Risks & Security Meetup 01052024.pdflior mazor
 
Apidays Singapore 2024 - Scalable LLM APIs for AI and Generative AI Applicati...
Apidays Singapore 2024 - Scalable LLM APIs for AI and Generative AI Applicati...Apidays Singapore 2024 - Scalable LLM APIs for AI and Generative AI Applicati...
Apidays Singapore 2024 - Scalable LLM APIs for AI and Generative AI Applicati...apidays
 
2024: Domino Containers - The Next Step. News from the Domino Container commu...
2024: Domino Containers - The Next Step. News from the Domino Container commu...2024: Domino Containers - The Next Step. News from the Domino Container commu...
2024: Domino Containers - The Next Step. News from the Domino Container commu...Martijn de Jong
 
Data Cloud, More than a CDP by Matt Robison
Data Cloud, More than a CDP by Matt RobisonData Cloud, More than a CDP by Matt Robison
Data Cloud, More than a CDP by Matt RobisonAnna Loughnan Colquhoun
 
ProductAnonymous-April2024-WinProductDiscovery-MelissaKlemke
ProductAnonymous-April2024-WinProductDiscovery-MelissaKlemkeProductAnonymous-April2024-WinProductDiscovery-MelissaKlemke
ProductAnonymous-April2024-WinProductDiscovery-MelissaKlemkeProduct Anonymous
 
DBX First Quarter 2024 Investor Presentation
DBX First Quarter 2024 Investor PresentationDBX First Quarter 2024 Investor Presentation
DBX First Quarter 2024 Investor PresentationDropbox
 
AXA XL - Insurer Innovation Award Americas 2024
AXA XL - Insurer Innovation Award Americas 2024AXA XL - Insurer Innovation Award Americas 2024
AXA XL - Insurer Innovation Award Americas 2024The Digital Insurer
 
Web Form Automation for Bonterra Impact Management (fka Social Solutions Apri...
Web Form Automation for Bonterra Impact Management (fka Social Solutions Apri...Web Form Automation for Bonterra Impact Management (fka Social Solutions Apri...
Web Form Automation for Bonterra Impact Management (fka Social Solutions Apri...Jeffrey Haguewood
 
MINDCTI Revenue Release Quarter One 2024
MINDCTI Revenue Release Quarter One 2024MINDCTI Revenue Release Quarter One 2024
MINDCTI Revenue Release Quarter One 2024MIND CTI
 
MS Copilot expands with MS Graph connectors
MS Copilot expands with MS Graph connectorsMS Copilot expands with MS Graph connectors
MS Copilot expands with MS Graph connectorsNanddeep Nachan
 
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...apidays
 
Manulife - Insurer Transformation Award 2024
Manulife - Insurer Transformation Award 2024Manulife - Insurer Transformation Award 2024
Manulife - Insurer Transformation Award 2024The Digital Insurer
 

Kürzlich hochgeladen (20)

Why Teams call analytics are critical to your entire business
Why Teams call analytics are critical to your entire businessWhy Teams call analytics are critical to your entire business
Why Teams call analytics are critical to your entire business
 
Axa Assurance Maroc - Insurer Innovation Award 2024
Axa Assurance Maroc - Insurer Innovation Award 2024Axa Assurance Maroc - Insurer Innovation Award 2024
Axa Assurance Maroc - Insurer Innovation Award 2024
 
Exploring the Future Potential of AI-Enabled Smartphone Processors
Exploring the Future Potential of AI-Enabled Smartphone ProcessorsExploring the Future Potential of AI-Enabled Smartphone Processors
Exploring the Future Potential of AI-Enabled Smartphone Processors
 
A Beginners Guide to Building a RAG App Using Open Source Milvus
A Beginners Guide to Building a RAG App Using Open Source MilvusA Beginners Guide to Building a RAG App Using Open Source Milvus
A Beginners Guide to Building a RAG App Using Open Source Milvus
 
Cloud Frontiers: A Deep Dive into Serverless Spatial Data and FME
Cloud Frontiers: A Deep Dive into Serverless Spatial Data and FMECloud Frontiers: A Deep Dive into Serverless Spatial Data and FME
Cloud Frontiers: A Deep Dive into Serverless Spatial Data and FME
 
EMPOWERMENT TECHNOLOGY GRADE 11 QUARTER 2 REVIEWER
EMPOWERMENT TECHNOLOGY GRADE 11 QUARTER 2 REVIEWEREMPOWERMENT TECHNOLOGY GRADE 11 QUARTER 2 REVIEWER
EMPOWERMENT TECHNOLOGY GRADE 11 QUARTER 2 REVIEWER
 
Apidays New York 2024 - The value of a flexible API Management solution for O...
Apidays New York 2024 - The value of a flexible API Management solution for O...Apidays New York 2024 - The value of a flexible API Management solution for O...
Apidays New York 2024 - The value of a flexible API Management solution for O...
 
Apidays New York 2024 - Scaling API-first by Ian Reasor and Radu Cotescu, Adobe
Apidays New York 2024 - Scaling API-first by Ian Reasor and Radu Cotescu, AdobeApidays New York 2024 - Scaling API-first by Ian Reasor and Radu Cotescu, Adobe
Apidays New York 2024 - Scaling API-first by Ian Reasor and Radu Cotescu, Adobe
 
GenAI Risks & Security Meetup 01052024.pdf
GenAI Risks & Security Meetup 01052024.pdfGenAI Risks & Security Meetup 01052024.pdf
GenAI Risks & Security Meetup 01052024.pdf
 
Apidays Singapore 2024 - Scalable LLM APIs for AI and Generative AI Applicati...
Apidays Singapore 2024 - Scalable LLM APIs for AI and Generative AI Applicati...Apidays Singapore 2024 - Scalable LLM APIs for AI and Generative AI Applicati...
Apidays Singapore 2024 - Scalable LLM APIs for AI and Generative AI Applicati...
 
2024: Domino Containers - The Next Step. News from the Domino Container commu...
2024: Domino Containers - The Next Step. News from the Domino Container commu...2024: Domino Containers - The Next Step. News from the Domino Container commu...
2024: Domino Containers - The Next Step. News from the Domino Container commu...
 
Data Cloud, More than a CDP by Matt Robison
Data Cloud, More than a CDP by Matt RobisonData Cloud, More than a CDP by Matt Robison
Data Cloud, More than a CDP by Matt Robison
 
ProductAnonymous-April2024-WinProductDiscovery-MelissaKlemke
ProductAnonymous-April2024-WinProductDiscovery-MelissaKlemkeProductAnonymous-April2024-WinProductDiscovery-MelissaKlemke
ProductAnonymous-April2024-WinProductDiscovery-MelissaKlemke
 
DBX First Quarter 2024 Investor Presentation
DBX First Quarter 2024 Investor PresentationDBX First Quarter 2024 Investor Presentation
DBX First Quarter 2024 Investor Presentation
 
AXA XL - Insurer Innovation Award Americas 2024
AXA XL - Insurer Innovation Award Americas 2024AXA XL - Insurer Innovation Award Americas 2024
AXA XL - Insurer Innovation Award Americas 2024
 
Web Form Automation for Bonterra Impact Management (fka Social Solutions Apri...
Web Form Automation for Bonterra Impact Management (fka Social Solutions Apri...Web Form Automation for Bonterra Impact Management (fka Social Solutions Apri...
Web Form Automation for Bonterra Impact Management (fka Social Solutions Apri...
 
MINDCTI Revenue Release Quarter One 2024
MINDCTI Revenue Release Quarter One 2024MINDCTI Revenue Release Quarter One 2024
MINDCTI Revenue Release Quarter One 2024
 
MS Copilot expands with MS Graph connectors
MS Copilot expands with MS Graph connectorsMS Copilot expands with MS Graph connectors
MS Copilot expands with MS Graph connectors
 
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...
Apidays Singapore 2024 - Building Digital Trust in a Digital Economy by Veron...
 
Manulife - Insurer Transformation Award 2024
Manulife - Insurer Transformation Award 2024Manulife - Insurer Transformation Award 2024
Manulife - Insurer Transformation Award 2024
 

Управление рисками ИБ: отдельные практические аспекты

  • 1. Управление рисками – профанация или реальность? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/20
  • 2. “Вы не можете эффективно управлять тем, что вы не можете измерить. И вы не можете измерить то, что вы не определили” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/20
  • 3. Что такое риск?  Вероятная частота и вероятная величина будущих потерь Метод FAIR  Сочетание вероятности события и его последствий ГОСТ Р 51901-2002  Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005  Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/20
  • 4. Что такое риск?  Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект)  Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг Хаббард InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/20
  • 5. Элементы риска  Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее  Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/20
  • 6. Вероятность возникновения риска Считаем самостоятельно Используем готовую статистику Собственная Чужая InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/20
  • 7. Вероятность возникновения риска  У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.! Мы не знаем условий, при которых произошел инцидент Мы не имеем деталей по каждому респонденту Средняя температура по больнице  Пример: риски для АСУ ТП Небольшое число внедрений Публичной статистики нет (базы BCIT и INL не в счет) Статистики вендоров нет – «закрытые» технологии Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП Экспертных оценок в России нет InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/20
  • 8. Считаем самостоятельно Сила защитной меры Уязвимость Возможности нарушителя Вероятность Наличие доступа Угроза Действие InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/20
  • 9. А оцениваем ли мы риски нарушителя?  Профиль (модель) нарушителя Мотив (причина) Цель «Спонсор» (кто помогает ресурсами?) Потенциальные возможности Озабоченность косвенным ущербом Приемлемый уровень риска InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/20
  • 10. Оценка потерь  Анализ риска не может быть осуществлен без оценки потерь Потеря в природе риска. Без потерь рисков не бывает  Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам  Особенности оценки потерь Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках… Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/20
  • 11. Почему сложно считать?  Информационный актив может иметь разную ценность В разное время, для разных аудиторий, в разных бизнес- процессах  Потери могут принимать разные формы  Одно событие может быть причиной нескольких форм потерь  Сложные взаимосвязи между разными формами потерь  Объем потерь определяется множеством факторов InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/20
  • 12. Формы потерь • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акций InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/20
  • 13. Нематериальные активы  Оценка последствий тесно увязана со стоимостью информационного актива Рыночная стоимость Стоимость актива в использовании Инвестиционная стоимость  3 основных подхода оценки НМА Затратный Доходный Рыночный InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/20
  • 14. Качество/количество: кому доверять? Качественная оценка Количественная оценка  Отсутствие количественной оценки не позволяет Оценить адекватность затрат на снижение рисков Оценить возможность перекладывания рисков Продемонстрировать снижение рисков Сравнить текущий уровень с предыдущими значениями InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/20
  • 15. Как считать?  AS/NZS 4360  NIST SP 800-3  HB 167:200X  SOMAP  EBIOS  Lanifex Risk Compass  ISO 27005 (ISO/IEC IS  Austrian IT Security 13335-2) Handbook  MAGERIT  на основе CRAMM  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3  ISO 31000 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/20
  • 16. “Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя” InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/20
  • 17. Взглянем с точки зрения заказчика  Методики оценки рисков представляются интеграторами и консультантами …которые заинтересованы в продаже своих продуктов и услуг  Признаки хорошей методики управления рисками Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы? Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз и размер ущерба и вероятность? Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/20
  • 18. Управление рисками и шаманство  Управление рисками сегодня это больше искусство, чем наука  Управление рисками похоже на шаманство Битье в бубен, бросание костей – отсутствие рационального объяснения своего выбора и «почему это работает» Заветы предков – Best Practices Интуиции и опыт хороши, но…  А какой риск приемлем?.. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/20
  • 19. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/20
  • 20. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/20