Оценка методов управления рисками информационной безопасности

Планирование ремонта всегда связано с выбором материалов для применения в новых элементах помещения. Например, на кухне очень красиво будут смотреться столешницы из искусственного камня в Севастополе купить которые можно по весьма интересным ценам. Рекомендую!

Процесс оценивания рисков заключается в определении характеристик рисков информсистемы и ее ресурсов. На основании подобных данных выбирются необходимые средства защиты.

При оценке рисков учитывается множество факторов: ценность ресурсов, оценки значимости угроз, уязвимостей, эффективность текущих и планируемых к применению средств защиты. Существуют разнообразные подходы к оценке рисков, а выбор конкретного зависит от существующих в организации требований к режиму информбезопасности

Для оценки и сравнения представленных методов управления ИТ-рисков используется стандарт COBIT – пакет открытых документов, описывающих универсальную модель управления информационными технологиями.

В статье представлена таблица, которая отображает возможности рассматриваемых стандартов с точки зрения используемых категорий сравнения (табл. 1).

Жирным и курсивным начертанием в таблице обозначены разделы (группы) категорий. В таблице знак “+” обозначает, что данный пункт соответствует критерию, а знак “-” не соответствует критерию, представленному в стандарте COBIT. Знак “!” обозначает, что соответствие критериев зависит от других факторов.

Таблица 1

Возможности рассматриваемых стандартов с точки зрения используемых категорий сравнения

Возможности рассматриваемых стандартов с точки зрения используемых категорий сравнения

Методы оценки информационной безопасности не рассматривают механизмов управления рисками остаточного уровня, не осуществляется оценка качества процессов реагирования на события в области информбезопасности. Кроме того, ни один из методов не предлагает подробных рекомендаций относительности периодичности проведения оценок ИТ-рисков. В методах CRAMM и CORAS упущен из виду пересмотр величин рисков после реализации контрмер. При необходимости выполнения разовой оценки уровня IT-рисков в компании любого масштаба, целесообразно применять метод CORAS. Для управления IT-рисками на основе периодических оценок на техническом уровне более предпочтительным является метод CRAMM. Метод OCTAVE целесообразно применять в крупных фирмах, где необходимо внедрение управления IT-рисками на основе регулярных оценок на организационном уровне и при возникновении неободимости разработки обоснованного плана действий по их снижению.

На практике заказчик практически всегда хочет получить вместе с результатами первоначальной оценки IT-рисков еще и рекомендации по их минимизации, а так же простой в применении инструмент для такой оценки. Огромное внимание заказчик направляет на получение ясности относительно результатов оценки IT-рисков и их зависимости в отношении действий по их минимизации. Инструмент оценки IT-рисков должен давать возможность отследить связи между определенными рисками и их причинами. Проанализировав данные, представленные в табл. 1, можно сделать вывод, что таким требованиям больше всего соответствует метод OCTAVE.

Добавить комментарий

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.