Библибоба

Читаем Ценность ваших данных полностью

Ценность ваших данных

Александр Константинов , Николай Скворцов , Сергей Борисович Кузнецов

Оценка рисков должна выявлять, количественно оценивать и приоритизировать риски в сопоставлении с критериями принятия рисков и целями, представляющими важность для организации. Результаты оценки должны служить ориентиром и определять соответствующие управленческие меры и приоритеты для управления рисками ИБ и для внедрения мер обеспечения ИБ, выбранных для защиты от этих рисков.

Оценка риска должна включать в себя:

● систематический подход к оценке величины рисков (анализ рисков);

● процесс сравнения оцениваемых рисков с критериями риска для определения значимости рисков (оценка рисков).

Оценку рисков следует проводить регулярно. Это нужно, чтобы учитывать новые требования к ИБ, следить за ситуацией с рисками, например, в отношении активов, угроз, уязвимостей, воздействий, оценки рисков, а также в случае существенных изменений требований к ИБ. И, конечно, подобная оценка должна осуществляться по специальной методике, обеспечивающей сопоставимые и воспроизводимые результаты.

Чтобы оценка рисков ИБ была эффективной, она должна иметь четко определенную область применения и при необходимости проводиться совместно с оценкой рисков в других областях.

Стандарт ИСО/МЭК 27005 предоставляет рекомендации по менеджменту рисков ИБ, в том числе по оценке, обработке, принятию, мониторингу и проверке рисков, а также по связанным с рисками коммуникациям. Он также содержит примеры методик оценки рисков.

Прежде чем рассматривать вопрос, связанный с обработкой рисков, организация должна определить критерии, устанавливающие возможность принятия или непринятия риска. Риск может быть принят, если, например, определено, что он невысок, или не принят, если стоимость его обработки экономически нецелесообразна для организации. Такие решения следует документировать.

После оценки рисков необходимо принять решение об их обработке. Ниже перечислены возможные подходы к обработке рисков:

● применить соответствующие меры обеспечения ИБ, позволяющие снизить риски;

● сознательно и объективно принять риски при условии, что они четко соответствуют политике организации и критериям такого принятия;

● избегать рисков путем запрета действий, которые могут привести к возникновению рисков;

● распределить риски с другими сторонами, например, со страховщиками или поставщиками.

По тем рискам, в отношении которых было решено применить меры обеспечения ИБ, необходимо выбрать соответствующие меры и внедрить их.

3. Выбор и внедрение мер обеспечения ИБ

После определения требований ИБ, определения и оценки рисков ИБ для выявленных информационных активов и принятия решений по обработке рисков необходимо выбрать и внедрить меры обеспечения ИБ для снижения рисков.

Применяемые меры обеспечения ИБ должны способствовать снижению рисков до приемлемого уровня исходя из:

● требований и ограничений национального и международного законодательства и нормативных актов:

● целей организации;

● эксплуатационных требований и ограничений;

● стоимости их внедрения и эксплуатации с учетом снижения рисков при сохранении соразмерности требованиям и ограничениям организации;

● задач по мониторингу, оценке и повышению эффективности и действенности мер обеспечения ИБ в соответствии с целями организации;

● необходимости обеспечения баланса между инвестициями во внедрение и поддержку мер обеспечения ИБ и потерями, возможными в результате инцидентов ИБ.

Меры обеспечения ИБ, приведенные в стандарте ИСО/МЭК 27002, признаны передовой практикой, применимой к большинству организаций, и легко адаптируются к организациям различного размера и сложности. Другие стандарты из семейства стандартов СМИБ предоставляют рекомендации по выбору и применению мер обеспечения ИБ из ИСО/МЭК 27002 для СМИБ.

Меры обеспечения ИБ необходимо учитывать на этапе разработки требований к проектам и системам. В противном случае это может увеличить затраты и снизить эффективность решений, а в худшем случае – сделать невозможным достижение адекватного уровня безопасности. Меры обеспечения информационной безопасности могут быть выбраны из ИСО/МЭК 27002 или из других подходящих наборов мер обеспечения ИБ. Кроме того, для удовлетворения конкретных потребностей организации могут быть разработаны новые специальные меры обеспечения ИБ. Необходимо признать, что не все меры обеспечения информационной безопасности подходят для применения в информационных системах или средах и практической реализации во всех организациях

В отдельных случаях для внедрения выбранного набора мер обеспечения ИБ требуется определенное время, и в течение этого времени уровень риска может быть выше допустимого в долгосрочной перспективе. Критерии риска должны охватывать допустимость рисков в краткосрочной перспективе, в период реализации мер обеспечения ИБ. Следует проинформировать заинтересованные стороны об уровнях риска, которые оцениваются и ожидаются в различные моменты времени, по мере постепенного внедрения данных мер обеспечения информационной безопасности.

Перейти на страницу:
Читать далее

Похожие книги

100 абсолютных законов успеха в бизнесе
100 абсолютных законов успеха в бизнесе

Почему одни люди преуспевают в бизнесе больше других? Почему одни предприятия процветают, в то время как другие терпят крах? Известный лектор и писатель по вопросам бизнеса нашел ответы на эти очень трудные вопросы. В своей книге он представляет набор принципов, или `универсальных законов`, которые лежат в основе успеха деловых людей всего мира. Практические рекомендации Трейси имеют вид 100 доступных для понимания и простых в применении законов, относящихся к важнейшим сферам труда и бизнеса. Он также приводит примеры из реальной жизни, которые наглядно иллюстрируют, как работает каждый из законов, а также предлагает читателю упражнения по применению этих законов в работе и жизни.

Брайан Трейси

Деловая литература / Маркетинг, PR, реклама / О бизнесе популярно / Финансы и бизнес
Читать бесплатно
Алчность и слава Уолл-Стрит
Алчность и слава Уолл-Стрит

Лауреат Пулитцеровской премии Джеймс Б. Стюарт стал первым, кто показал, что благородство и респектабельность Уолл-стрит являются лишь вершиной айсберга, в подводной части которого таится мир коррупции и преступных сговоров, процветает манипулирование ценами и нелегальное использование закрытой информации. Жанр книги Джеймса Стюарта с трудом поддается определению. С одной стороны, это журналистское расследование: книга основана исключительно на реальных событиях, документах и торговой информации, а с другой – остросюжетный триллер, где описание человеческой натуры, большого бизнеса и крупномасштабных спекуляций исполнено небывалого драматизма.

Джеймс Б. Стюарт , Джеймс Стюарт

Деловая литература / Биографии и Мемуары / Документальное / Финансы и бизнес
Без регистрации
100 способов мотивации
100 способов мотивации

Авторы создали актуальное, удобное, вдохновляющее руководство для лидеров, менеджеров и профессионалов своего дела, а также для всех, кто к этому стремится. Книга обобщила в себе лучший опыт проведения семинаров, тренингов и коучинговых программ по лидерству и коммуникации, среди участников которых многие известные компании и организации.Для широкого круга читателей.

Скотт Ричардсон , Стив Чандлер

Деловая литература
Полная версия
50 правил успеха, чтобы достичь желаемого в бизнесе и в личной жизни
50 правил успеха, чтобы достичь желаемого в бизнесе и в личной жизни

Постройте жизнь по своему сценарию! «50 правил успеха» от Джека Кэнфилда – эксперта по достижению успеха, автора бестселлеров, разошедшихся по всему миру тиражами в 500 000 000 экземпляров. Эта книга ‒ признанная классика, которая помогла 500 000 читателям добиться успеха как в бизнесе, так и в личной жизни."50 правил успеха" работают для всех. Неважно, в чём состоит ваша цель ‒ как только вы начнете применять правила на практике, ваша жизнь изменится так, как вы даже мечтать не осмеливались.[i]Книга также выходила под названием «Правила успеха».[/i]

Джанет Свитцер , Джек Кэнфилд

Деловая литература
Читать Онлайн
Избранное