Enviar pesquisa
Carregar
7 cases of risk probality measurement
•
13 gostaram
•
2,177 visualizações
Aleksey Lukatskiy
Seguir
Aperfeiçoamento pessoal
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 30
Recomendados
Мастер класс по моделированию угроз
Мастер класс по моделированию угроз
Aleksey Lukatskiy
Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
Vladislav Chernish
Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
Threat Modeling (Part 1)
Threat Modeling (Part 1)
Aleksey Lukatskiy
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
Aleksey Lukatskiy
Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
Threat Modeling (Part 5)
Threat Modeling (Part 5)
Aleksey Lukatskiy
Recomendados
Мастер класс по моделированию угроз
Мастер класс по моделированию угроз
Aleksey Lukatskiy
Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
Vladislav Chernish
Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
Threat Modeling (Part 1)
Threat Modeling (Part 1)
Aleksey Lukatskiy
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
Aleksey Lukatskiy
Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
Threat Modeling (Part 5)
Threat Modeling (Part 5)
Aleksey Lukatskiy
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Aleksey Lukatskiy
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
a_a_a
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Александр Лысяк
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
Presentation IS criteria
Presentation IS criteria
a_a_a
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
Александр Лысяк
Measurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТП
Компания УЦСБ
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Компания УЦСБ
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
Метрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
Компания УЦСБ
24_glebov
24_glebov
Oleg Glebov
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
Компания УЦСБ
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Oleg Demidov
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Positive Hack Days
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Infor-media
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
Mais conteúdo relacionado
Mais procurados
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Aleksey Lukatskiy
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
a_a_a
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Александр Лысяк
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
Presentation IS criteria
Presentation IS criteria
a_a_a
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
Александр Лысяк
Measurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТП
Компания УЦСБ
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Компания УЦСБ
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
Метрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
Компания УЦСБ
24_glebov
24_glebov
Oleg Glebov
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
Компания УЦСБ
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Oleg Demidov
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Positive Hack Days
Mais procurados
(20)
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
4. ePlat4m Security GRC
4. ePlat4m Security GRC
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Presentation IS criteria
Presentation IS criteria
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
Measurement of security efficiency
Measurement of security efficiency
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТП
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
Метрики информационной безопасности
Метрики информационной безопасности
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
24_glebov
24_glebov
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Destaque
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Infor-media
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
ПОВЕДІНКА СПОЖИВАЧА В УМОВАХ НЕВИЗНАЧЕНОСТІ ТА РИЗИКУ
ПОВЕДІНКА СПОЖИВАЧА В УМОВАХ НЕВИЗНАЧЕНОСТІ ТА РИЗИКУ
Alex Grebeshkov
IFC Risk Management Seminar (Introductory Slides)
IFC Risk Management Seminar (Introductory Slides)
avmertens
Risk management
Risk management
Return on Intelligence
Introduction to Risk Management
Introduction to Risk Management
Iryna Nyenno
Внедрение процесса управления рисками (лекция в Стратоплан)
Внедрение процесса управления рисками (лекция в Стратоплан)
RiskGap
Risk Stories Seminar. XP Injection. Kiev. Ukraine
Risk Stories Seminar. XP Injection. Kiev. Ukraine
Sergiy Povolyashko, PMP
4. курс лекций афу
4. курс лекций афу
GKarina707
4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc
tomik1044
Операционный риск в коммерческом банке
Операционный риск в коммерческом банке
Veronica Narozhnaya
Риск менеджмент
Риск менеджмент
ProfiMarkets - Центр подготовки трейдеров и инвесторов
374164
374164
tomik1044
I go r lab
I go r lab
Igor Yudin
Модели смешанного обучения
Модели смешанного обучения
Elena Tikhomirova
Повышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рисками
Alexei Sidorenko, CRMP
LTE :Mobile Network Security
LTE :Mobile Network Security
Satish Chavan
Lecture 9 chi_t_f
Lecture 9 chi_t_f
Kurbatskiy Alexey
Risk Management
Risk Management
Return on Intelligence
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
Antony Filimonov
Destaque
(20)
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
ПОВЕДІНКА СПОЖИВАЧА В УМОВАХ НЕВИЗНАЧЕНОСТІ ТА РИЗИКУ
ПОВЕДІНКА СПОЖИВАЧА В УМОВАХ НЕВИЗНАЧЕНОСТІ ТА РИЗИКУ
IFC Risk Management Seminar (Introductory Slides)
IFC Risk Management Seminar (Introductory Slides)
Risk management
Risk management
Introduction to Risk Management
Introduction to Risk Management
Внедрение процесса управления рисками (лекция в Стратоплан)
Внедрение процесса управления рисками (лекция в Стратоплан)
Risk Stories Seminar. XP Injection. Kiev. Ukraine
Risk Stories Seminar. XP Injection. Kiev. Ukraine
4. курс лекций афу
4. курс лекций афу
4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc
Операционный риск в коммерческом банке
Операционный риск в коммерческом банке
Риск менеджмент
Риск менеджмент
374164
374164
I go r lab
I go r lab
Модели смешанного обучения
Модели смешанного обучения
Повышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рисками
LTE :Mobile Network Security
LTE :Mobile Network Security
Lecture 9 chi_t_f
Lecture 9 chi_t_f
Risk Management
Risk Management
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
Востребованность функций ИСУП. Результаты ежегодного исследования Young Crew ...
Semelhante a 7 cases of risk probality measurement
Information security risk management presentation
Information security risk management presentation
Вячеслав Аксёнов
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdf
trenders
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Строим вместе безопасную СЭД
Строим вместе безопасную СЭД
ИнтерТраст
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...
Galina Zhdanovich
Возможно ли обеспечить 100% гарантию безопасности организации
Возможно ли обеспечить 100% гарантию безопасности организации
Дмитрий Пшиченко
Vulnerability Management
Vulnerability Management
Aleksey Lukatskiy
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
SelectedPresentations
5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
UISGCON
Будущие исследования ИБ
Будущие исследования ИБ
Aleksey Lukatskiy
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в России
Aleksey Lukatskiy
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
Александр Лысяк
тест на проникновение
тест на проникновение
a_a_a
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Expolink
Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
Security Measurement.pdf
Security Measurement.pdf
Aleksey Lukatskiy
Об угрозах информационной безопасности, актуальных для разработчиков средств...
Об угрозах информационной безопасности, актуальных для разработчиков средств...
Maxim Avdyunin
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Банковское обозрение
Semelhante a 7 cases of risk probality measurement
(20)
Information security risk management presentation
Information security risk management presentation
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdf
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
Incident management (part 1)
Incident management (part 1)
Строим вместе безопасную СЭД
Строим вместе безопасную СЭД
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...
Возможно ли обеспечить 100% гарантию безопасности организации
Возможно ли обеспечить 100% гарантию безопасности организации
Vulnerability Management
Vulnerability Management
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
5.про soc от jet
5.про soc от jet
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Будущие исследования ИБ
Будущие исследования ИБ
Стандарты безопасности АСУ ТП и их применимость в России
Стандарты безопасности АСУ ТП и их применимость в России
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
тест на проникновение
тест на проникновение
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Incident management (part 2)
Incident management (part 2)
Security Measurement.pdf
Security Measurement.pdf
Об угрозах информационной безопасности, актуальных для разработчиков средств...
Об угрозах информационной безопасности, актуальных для разработчиков средств...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Mais de Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
Mais de Aleksey Lukatskiy
(20)
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
7 cases of risk probality measurement
1.
7 способов оценки
вероятности риска Алексей Лукацкий Бизнес-консультант по безопасности Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 1/30
2.
“Анализ рисков, оценка
их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя” Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 2/30
3.
Управление рисками и
шаманство Методики оценки рисков представляются интеграторами и консультантами …которые заинтересованы в продаже своих продуктов и услуг Управление рисками сегодня это больше искусство, чем наука Управление рисками похоже на шаманство Битье в бубен, бросание костей – отсутствие рационального объяснения своего выбора и «почему это работает» Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 3/30
4.
Вероятность –
ключевой элемент при оценке риска Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 4/30
5.
Что такое риск?
Вероятная частота и вероятная величина будущих потерь Метод FAIR Сочетание вероятности события и его последствий ГОСТ Р 51901.1-2002 Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005 Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 5/30
6.
Что такое риск?
Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект) Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба ГОСТ Р 51898-2002 Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг Хаббард Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 6/30
7.
Что такое угроза?
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и(или) несанкционированными и(или) непреднамеренными воздействиями на нее Рекомендации ФСТЭК по защите коммерческой тайны и КСИИ Потенциальная причина инцидента, который может нанести ущерб системе или организации ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 7/30
8.
Что такое угроза?
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных Требования ФСТЭК по защите персональных данных Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 8/30
9.
Что такое угроза?
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации ГОСТ 50.1.056-2005 Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 9/30
10.
Элементы риска
Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 10/30
11.
Измерение
вероятности Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 11/30
12.
Собственная статистика (первый
метод) Историческая (статистическая) оценка позволяет на основании данных прошлых периодов прогнозировать будущее Один из эффективных методов При условии неизменности среды оценки Необходимо наблюдение и сбор данных в течение нескольких лет Без наличия адекватных инструментальных средств это непростая задача – сбор, нормализация, хранение и анализ данных Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 12/30
13.
Чужие отчеты и
статистика (второй метод) У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.! Мы не знаем условий, при которых произошел инцидент Мы не имеем деталей по каждому респонденту Средняя температура по больнице Ориентация на отрасль в целом, чем на конкретную компанию Пример: риски для АСУ ТП Небольшое число внедрений Публичной статистики нет (базы BCIT и INL не в счет) Статистики вендоров нет – «закрытые» технологии Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП Экспертных оценок в России нет Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 13/30
14.
О доверии к
статистике Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер Не каждая компания приглашает социологов для осуществления опросов Proofpoint Infowatch IDC • 43% утечек • 5% утечек • 56% утечек через e- через e- через e- mail mail mail Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 14/30
15.
Публичные отчеты со
статистикой угроз WhiteHat Security – Web Vulnerability Statistics Positive Technologies – Статистика уязвимостей Web CSI – CSI Computer Crime & Security Survey Aberdeen Group – The 2008 Email Security Report IBM ISS – X-Force 2009 Trend & Risk Report Symantec – Global Internet Security Threat Report MessageLabs – 2009 Annual Security Report Cisco – 2009 Annual Security Report Verizon – 2009 Data Breach Investigations Report PwC – 2008 Information Security Breaches Survey Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 15/30
16.
Считаем самостоятельно (третий
метод) Сила защитной меры Уязвимость Возможности нарушителя Вероятность Наличие доступа Угроза Действие Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 16/30
17.
Сравнение с другими
рисками (четвертый метод) Сравнение/сопоставление с аналогичным риском ГОСТ Р 51344-99 Сравнение с риском на аналогичном решении с учетом следующих факторов Аналогичное оборудование безопасности Предполагаемое использование и технологии на обоих решениях сравнимы Опасность и элементы риска сравнимы Технические условия сравнимы Условия использования сравнимы Необходимо учитывать дополнительные факторы Например, тип защищаемой информации или потенциал нападения Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 17/30
18.
Аналитика (пятый метод)
Прогнозирование с использованием аналитических методов «Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025) «Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события Имитационное моделирование отказов/инцидентов В области ИБ не применяется или применяется крайне редко В критически важных областях Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 18/30
19.
Бинарная вероятность (шестой
метод) Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет При отсутствии защитных мер Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев В обычной жизни это слишком дорого …или для угроз, которые являются очень распространенными Данный метод применяется в небольшом количестве различных методик Ключевые системы информационной инфраструктуры – ФСТЭК Security Architecture for Enterprise (SAFE) – Cisco Методика ФСБ по персданным Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 19/30
20.
Когда нет цифр?
Количественная оценка не всегда возможна из-за Недостатка информации о системе Недостатка информации о деятельности, подвергающейся оценке Отсутствии или недостатке данных об инцидентах Влияния человеческого фактора Нежелания заниматься измерениями Качественная оценка требует Четкого разъяснения всех используемых терминов Обоснования всех классификаций частот и последствий Понимания всех плюсов и минусов качественной (экспертной) оценки, а также психологии восприятия риска Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 20/30
21.
Экспертная оценка (седьмой
метод) При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 21/30
22.
Достоинства/недостатки метода
Достоинства Ограничения Простота реализации Возможность влияния на экспертное мнение заинтересованными лицами При оценке случайных событий принцип «здравого смысла» неприменим Волюнтаризм экспертов Отсутствие достаточного количества экспертов Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами Зависимость от квалификации эксперта Психология восприятия риска Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 22/30
23.
Психология восприятия риска
Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях Ощущения зависят от психологических реакций на риски и контрмеры Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию? Что вероятнее – пасть жертвой террористов или погибнуть на дороге? Что опаснее – низкая квалификация персонала или Risk measurement универсальный червь для сетевого оборудования? © 2008 Cisco Systems, Inc. All rights reserved. 23/30
24.
Метод Дельфи
Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80% Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше Модификация метода: брать среднюю оценку после отбрасывания крайних значений Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами Экспертов должно быть не менее трех, а лучше пять Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 24/30
25.
Метод Дельфи: пример
Эксперты Раунд 1 Раунд 2 Эксперт 1 50 55 Эксперт 2 65 60 Эксперт 3 100 80 Эксперт 4 30 50 Эксперт 5 60 60 Итого 61 / 58 61 / 58 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 25/30
26.
Другие методы повышения
качества экспертной оценки Нормированные z-показатели Робина Доуза Модель линзы Брунсвика Когнитивные методы Руссо Модель Раша Регрессионные модели Нелинейные модели Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 26/30
27.
Заключение Risk measurement
© 2008 Cisco Systems, Inc. All rights reserved. 27/30
28.
“В настоящее время
нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающем доверие методом, приносящим воспроизводимые результаты.” ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Presentation_ID Risk measurement © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 28/30
29.
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Risk measurement © 2008 Cisco Systems, Inc. All rights reserved. 29/30
30.
Risk measurement
© 2008 Cisco Systems, Inc. All rights reserved. 30/30