Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 700454.doc
Скачиваний:
81
Добавлен:
01.05.2022
Размер:
8.16 Mб
Скачать
►Содержание►

1.3. Менеджмент риска информационной безопасности

Требования по управлению информационными рисками содержатся во многих международных и отечественных регламентирующих документах и обоснованы существующей практикой развития информационных технологий. Поэтому изучение проблем управления рисками и методов их решения является актуальным и востребованным в современном информационном обществе.

Для создания эффективной СМИБ и идентификации потребности организации, касающиеся требований ИБ, необхо-дим систематический подход к менеджменту риска ИБ. Этот подход должен соответствовать условиям деятельности органи-зации и, в частности, должен быть согласован с общим ме-неджментом рисков в масштабе организации. Усилия по обеспе-чению безопасности должны обеспечивать эффективное и свое-временное реагирование на риски там и тогда, где и когда это необходимо. Менеджмент риска ИБ должен быть неотъемлемой частью всех видов деятельности, связанных с менеджментом ИБ, и должен применяться как на этапе внедрения, так и в процессе повседневного использования СМИБ организации.

Задачи менеджмента риска ИБ [18]:

  • идентификация рисков;

  • оценка рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;

  • осознание и информирование о вероятности и последствиях рисков;

  • установление приоритетов в рамках обработки рисков;

  • установление приоритетов мероприятий по снижению имеющих место рисков;

  • привлечение причастных сторон к принятию решений о менеджменте риска и поддержание их информированности о состоянии менеджмента риска;

  • обеспечение эффективности проводимого мониторинга обработки рисков;

  • проведение регулярного мониторинга и пересмотра процесса менеджмента риска;

  • сбор информации для совершенствования менеджмента риска;

  • подготовка менеджеров и персонала по вопросам рисков и необходимых действий, предпринимаемых для их уменьшения.

Процесс менеджмента риска ИБ состоит из установления контекста, оценки риска, обработки риска, принятия риска, коммуникаций риска, а также мониторинга и переоценки риска информационной безопасности (рис. 1.2) [18].

Конец первой и последующих итераций

Рис. 1.2. Процесс менеджмента риска информационной безопасности

В процессе менеджмента риска ИБ процедуры оценки риска и/или обработки риска могут выполняться итеративно.

Сначала устанавливается контекст, а затем проводится оценка риска. Если при этом удается получить достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача выполнена, после чего следует обработка риска. Если информация является недостаточной, то проводится очередная итерация оценки риска в условиях пересмотренного контекста (например, критериев оценки рисков, критериев принятия рисков или критериев влияния), возможно в ограниченной части полной предметной области (первая точка принятия решения).

Эффективность обработки риска зависит от результатов оценки риска. Обработка риска может не обеспечить сразу же приемлемый уровень остаточного риска. В этой ситуации потребуется, если необходимо, еще одна итерация оценки риска с измененными параметрами контекста (например, критериев оценки риска, принятия риска и влияния), за которой последует очередная процедура обработки риска (вторая точка принятия решения).

Процедура принятия риска должна обеспечивать однозначное принятие остаточных рисков руководством организации. Детализированные результаты каждого вида деятельности, входящего в процесс менеджмента риска ИБ, а также результаты, полученные из двух точек принятия решений о рисках, должны быть документированы.

В табл. 1.1 показана взаимосвязь процедур менеджмента риска с четырьмя фазами процесса СМИБ.

Таблица 1.1

Соотношение системы менеджмента информационной безопасности и процесса менеджмента риска информационной безопасности

Процесс СМИБ

Процесс менеджмента риска ИБ

Планирование

Установление контекста

Оценка риска

Планирование обработки риска

Принятие риска

Осуществление

Реализация плана обработки риска

Проверка

Проведение непрерывного мониторинга и переоценки рисков

Действие

Поддержка и усовершенствование процесса менеджмента риска ИБ

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности