- •Экономические аспекты зи
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Стоимость корпоративной сзи
- •Кривая затрат на информационную безопасность, связь затрат на информационную безопасность и уровень достигаемой защищенности, анализ кривой затрат на иб
- •Кривая затрат на информационную безопасность, связь затрат на информационную безопасность и уровень достигаемой защищенности, анализ кривой затрат на иб
- •Стоимостные характеристики it-проектов и проектов иб
- •Стоимостные характеристики it-проектов и проектов иб
- •Методика gartner group
- •Методика gartner group
- •Методика gartner group
- •Методика gartner group
- •Пример расчета стоимости простоя сервера
- •Необходимые данные для расчета
- •Планируемые отключения сервера (включают в себя отключения, вызванные операциями резервного копирования содержимого сервера и переконфигурирование)
- •Внеплановые отключения сервера (включают в себя отключения, вызванные сбоями питания, выходом из строя оборудования, программными ошибками и ошибками человека)
- •Пример расчета стоимости простоя сервера
- •Пример классификации затрат на иб
- •1. Затраты на обслуживание системы безопасности (затраты на предупредительные мероприятия)
- •1.1. Управление системой защиты информации:
- •1.2. Регламентное обслуживание средств защиты информации:
- •Пример классификации затрат на иб
- •2.2. Внеплановые проверки и испытания:
- •2.3. Контроль за соблюдением политики иб:
- •Пример классификации затрат на иб
- •5. Прочие затраты:
- •Укрупненные методы расчета стоимости it-проектов
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Риск информационной безопасности
- •Этапы управления рисками информационной безопасности
- •Оценка рисков иб
- •Оценка рисков иб
- •Оценка рисков иб
- •Техники сбора информации о системе
- •Техники сбора информации о системе
- •Обзор документов
- •Обзор документов
- •Обзор документов
- •Определение уязвимостей
- •Источники уязвимостей
- •Тестирование безопасности ис
- •Тестирование безопасности ис
- •Идентификация угроз
- •Идентификация угроз
- •Меры безопасности
- •Категории мер безопасности
- •Техники анализа мер безопасности
- •Техники анализа мер безопасности
- •Определение вероятности
- •Анализ влияния
- •Анализ влияния
- •Анализ влияния виды ущерба активам
- •Ущерб на уровне организации и владельцев ир
- •Положение об определении требований по категорированию ресурсов ас
- •1. Категории защищаемой информации
- •Положение об определении требований по категорированию ресурсов ас
- •Положение об определении требований по категорированию ресурсов ас
- •Положение об определении требований по категорированию ресурсов ас
- •Определение уровня риска
- •Матрица уровня риска
- •Описание уровня риска
- •Выработка рекомендаций
- •Документирование результатов
- •Документирование результатов
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Стоимость страхования
- •Стоимость страхования
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Интеллектуальная собственность предприятия и ее защита
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Экономическая оценка объектов интеллектуальной собственности
- •Экономическая оценка объектов интеллектуальной собственности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Часть 1
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи оценка инвенстиций в информационную безопасность
- •Методы оценки инвестиционной привлекательности проектов
- •Показатель чистой текущей стоимости (npv)
- •Показатель чистой текущей стоимости (npv)
- •Индекс рентабельности (pi)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Rosi – коэффициент возврата инвестиций
- •Пример оценки эффективности инвестиций
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Itsm (управление ит-сервисами)
- •Служба service desk
- •Служба service desk
- •Управление инцидентами
- •Управление инцидентами
- •Степень воздействия, срочность и приоритет
- •Степень воздействия, срочность и приоритет
- •Часть 1
- •Эскалация
- •Первая, вторая и n-линия поддержки
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Виды деятельности
- •Виды деятельности
- •Классификация
- •Категория
- •Приоритет
- •Услуги (сервисы)
- •Группа поддержки
- •Решение и восстановление
- •Закрытие
- •Мониторинг хода решения и отслеживание
- •Контроль процесса
- •Управление проблемами
- •Виды деятельности
- •Идентификация и регистрация проблемы
- •Идентификация и регистрация проблемы
- •Расследование и диагностика
- •Проактивное управление проблемами
- •Управление конфигурациями
- •Управление конфигурациями
- •Управление конфигурациями
- •Управление конфигурациями
- •Атрибуты
- •Базисная конфигурация
- •Мониторинг статуса
- •Мониторинг статуса
- •Верификация и аудит
- •Верификация и аудит
- •Управление изменениями
- •Виды деятельности
- •Регистрация запросов на изменения
- •Прием в обработку
- •Классификация
- •Определение приоритета
- •Определение приоритета
- •Планирование
- •Политика проведения изменений
- •Совещания консультативного комитета (cab)
- •Координация
- •Подготовка изменения
- •Тестирование
- •Внедрение
- •Проведение срочных изменений
- •Проведение срочных изменений
- •Управление релизами
- •Управление релизами
- •Релизные единицы
- •Идентификация релизов
- •Типы релизов
- •Типы релизов
- •Библиотека эталонного программного обеспечения (dsl)
- •Склад эталонного аппаратного обеспечения (dhs)
- •Использования процесса
- •Преимущества использования процесса
- •Процесс
- •Виды деятельности
- •Виды деятельности
- •Проектирование, компоновка и конфигурирование
- •План возврата к исходному состоянию
- •План возврата к исходному состоянию
- •Тестирование и приемка релиза
- •Тестирование и приемка релиза
- •Планирование внедрения
- •Оповещение, подготовка и обучение
- •Распространение релизов и инсталляция
- •Управление уровнем сервиса
- •Требования к уровню услуг (service level requirements — slr)
- •Каталог услуг (service catalog)
- •Соглашение об уровне услуг (service level agreement — sla)
- •Программа улучшения сервиса (service improvement program — sip)
- •План обеспечения качества услуг (service quality plan — sqp)
- •Операционное соглашение об уровне услуг (operational level agreement — ola)
- •Внешний договор (underpinning contract — uc)
- •Преимущества использования процесса
- •Процесс
- •Процесс
- •Процесс
- •Преимущества использования процесса
- •Процесс
- •Процесс
- •Виды деятельности
- •Идентификация
- •Определение
- •Определение внешних стандартов
- •Определение внешних стандартов
- •Определение внешних стандартов
- •План обеспечения качества услуг (service quality plan — sqp)
- •Договор
- •Соглашение об уровне сервиса
- •Внешние договоры и операционные соглашения об уровне услуг
- •Каталог услуг
- •Управление уровнем сервиса
- •Мониторинг
- •Создание отчетов
- •Анализ (ревью)
- •Управление финансами ит
- •Управление финансами ит
- •Управление мощностями
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Управление непрерывностью ит-сервисов
- •Управление непрерывностью ит-сервисов
- •Управление непрерывностью ит-сервисов
- •Превентивные меры
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Организация процесса и планирование внедрения
- •Применение превентивных мер и способов восстановления
- •Разработка планов и процедур восстановления
- •План восстановления
- •План восстановления
- •Процедуры
- •Начальное тестирование
- •Обучение и осведомление
- •Анализ и аудит
- •Тестирование
- •Управление доступностью
- •Управление доступностью
- •Управление доступностью
- •Управление доступностью
- •Определение требований к доступности сервиса
- •Определение требований к доступности сервиса
- •Проектирование систем для достижения требуемого уровня доступности
- •Проектирование систем для достижения требуемого уровня обслуживания
- •Ключевые вопросы безопасности
- •Управление обслуживанием
- •Проведение измерений и составление отчетов
- •Проведение измерений и составление отчетов
- •Проведение измерений и составление отчетов
- •Разработка плана обеспечения доступности
- •Инструментальные средства
- •Методы и методики
- •Анализ влияния отказа компонентов (cfia)
- •Анализ влияния отказа компонентов (cfia)
- •Расчеты доступности сервиса
- •Расчеты доступности сервиса
- •Программное обеспечение автоматизации процессов itil
- •Управление иб
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Модель команды mof
- •Модель управления рисками mof
- •Модель управления рисками mof
- •О сайте
- •Учебники
Модель управления рисками mof
MOF вводит совокупность процессов и процедур для управления ИТ-рисками.
Процесс управления рисками включает в себя 6 основных шагов:
- идентификация рисков;
- анализ и ранжирование рисков;
- планирование работ по обработке рисков;
- мониторинг рисков
- контроль работ по управлению рисками;
- документирование накопленного опыта. Обновление базы знаний рисков и документов, регламентирующих процесс управления рискам
MOF содержит детальное описание особенностей реализации каждой из выше перечисленных функций, привязанное к практике. Даются конкретные рекомендации по реализации соответствующих процессов на предприятиях, практическому решению возникающих при этом задач.
Внутри описания каждого из процессов сформированы требования и определены функции ролей командной модели MOF при выполнении различных задач в рамках выше перечисленных процессов.
В виде отдельных процессов выделены и детально рассмотрены следующие (относящиеся к функциям администрирования):
- системное администрирование;
- администрирование безопасности;
- администрирование службы каталогов;
- администрирование сети.
Для многих процессов представлены примеры шаблонов, отчетов, опросных листов.
В настоящее время Microsoft реализован инструмент SAT (Self Assessment Tool), предназначенный для самостоятельного аудита организацией свих процессов.
[2] Если получившийся уровень риска очень низкий, такой риск может считаться «незначительным» или не важным (значение <1 на шкале риска от 1 до 100). Дальнейшие действия по управлению подобными рисками можно отработать потом отдельно. Это даст уверенность, что они не будут пропущены, когда будет выполняться следующая периодическая оценка риска. Это также полезно тем, что в организации будут полные записи всех рисков определенных в анализе. Эти риски в последствии могут перейти на новый уровень в течение переоценки, например, в результате изменения вероятности угрозы и/или влияния. Поэтому важно, чтобы идентифицированные риски не были потеряны.
Модель управления рисками mof
[3] Promotion.
[4] Reliability.
[5] Resilience - устойчивость: способность сервиса сохранять доступность при сбое одного или нескольких ИТ-компонент. - Прим. ред.
[6] Maintainability.
[7] Recoverability.
[8] Availability Plan.
[9] Sinsle points of failures - SPOF.
[10] Component Failure Impact Analysis — CFIA.
[11] CCTA Risk Analysis and Management - CRAMM
[12] Component Failure Impact Analysis — CFIA.
[13] Recoverability
[14] Serviceability.
[15] Availability plan.
[16] Availability Management Database — AMDB
[17] Fault Tree Analysis- FTA.
[18] ССТА Risk Analysis and Management Method - CRAMM.
[19] System Outage Analysis — SOA.
[20] Technical Observation Post - TOR
О сайте
Экономика защиты информациидисциплина рассматривает экономические проблемы защиты информационных ресурсов и поддерживающей их инфраструктуры. Сформируем подходы к определению затрат на защиту информации, к оценке эффективности системы защиты и страхования информации.
Для многих коммерческих организаций важно обосновать вложения в ИБ. Каждый из Вас попадал в ситуацию, когда при выделении бюджета отделу ИБ руководитель просил обосновать вкладываемые средства. Сразу возникают вопросы – что я буду иметь с этого? Какова будет отдача? Сколько я получу с этого? Когда вернутся вложенные инвестиции? И т.д. В рамках этого курса мы научимся отвечать на данные вопросы.
Оценивать эффективность СЗИ мы будем через понятие риска ИБ – возможных потерь организации от реализации определенных угроз.
Не следует считать (как считают некоторые), что ИБ – это всегда убыточная область. Вкладывая деньги в ИБ, мы уменьшаем риски организации, возможный ущерб, который она понесет, а это приносит определенный доход организации.
С этими вопросами мы и познакомимся в рамках данного курса.