![]() |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
|
Оценка рисков информационной безопасности
Требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и для какой либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а
именно там, где это практически выполнимо и целесообразно.
Оценка риска — это систематический анализ:
- вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;
- вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью.
Результаты этой оценки помогут в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью, а также внедрению мероприятий по управлению информационной безопасностью с целью минимизации этих рисков.
Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.
Важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:
- изменения требований и приоритетов бизнеса;
- появление новых угроз и уязвимостей;
- снижение эффективности существующих мероприятий по управлению информационной безопасностью.
Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски,
Дата публикования: 2015-02-28; Прочитано: 342 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!