Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

— значимость бизнес-процесса, поддерживаемого конкретным активом или их совокупностью — если процесс определён как имеющий низкую значимость, связанные с ним риски должны рассматриваться в меньшей степени, чем риски, влияющие на более важные процессы.

Оценивание риска основывается на понимании сути риска, полученном на этапе его анализа, для принятия решений о будущих действиях. Решения должны включать в себя следующее:

— должны ли быть предприняты какие-то действия;

— приоритеты при обработке риска, учитывающие измеренные уровни рисков.

Выходные данные: Перечень рисков с назначенными приоритетами в соответствии с критериями оценки риска в отношении сценариев инцидентов, которые приводят к этим рискам.

<p>3. Обработка рисков ИБ</p>

Входные данные: Перечень рисков с назначенными приоритетами в соответствии с критериями оценки риска в отношении сценариев инцидентов, которые приводят к этим рискам.

Действие: Должен быть осуществлен выбор варианта обработки рисков, соответствующих мер и средства защиты, и разработан план обработки рисков.

Руководство по реализации:

Обработку риска обеспечивают следующие меры:

— поиск решений;

— выбор варианта обработки;

— реализация обработки;

— оценка остаточного риска.

Предусмотрены следующие варианты обработки риска:

— снижение;

— сохранение;

— избежание (предотвращение);

— перенос.

Вариант обработки риска должен выбираться на основе результатов оценки риска, ожидаемой стоимости реализации и выгоды от этого варианта. Выбирается тот вариант, когда значительное снижение риска может быть достигнуто при относительно небольших затратах. Неблагоприятные последствия риска необходимо снижать до разумных пределов и независимо от каких-либо абсолютных критериев.

Некоторые виды обработки рисков могут быть эффективными для более, чем одного риска (например, обучение и осведомлённость персонала). План обработки риска должен чётко определять порядок приоритетов, в котором должна реализовываться обработка отдельных рисков. Порядок приоритетов может устанавливаться с использованием различных методов, включая ранжирование рисков и анализ соотношения «затраты — выгода».

Идентификация существующих средств защиты может определять те средства, которые превышают текущую потребность также и с точки зрения сравнения затрат, включая поддержку. Если рассматривается удаление избыточных или ненужных средств защиты (особенно, если расходы на поддержку этих средств контроля велики), должны приниматься во внимание факторы ИБ и стоимости. Поскольку средства защиты оказывают влияние друг на друга, исключение избыточных средств может в итоге снизить эффективность использования всех оставшихся средств защиты.

Варианты обработки риска должны учитывать:

— как риск осознается сторонами, которых он касается;

— наиболее соответствующие пути взаимоотношений с этими сторонами.

После того как определён план обработки риска, необходимо определить остаточные риски. Это включает обновление или повторную операцию оценки риска, принимая во внимание ожидаемый эффект от предполагаемой обработки риска. Если остаточные риски по-прежнему не будут удовлетворять критериям принятия риска организации, может возникнуть необходимость дальнейшего процесса обработки риска, прежде чем перейти к принятию риска.

Выходные данные: План обработки риска и остаточные риски — предмет обсуждения для принятия решения руководством организации.

3.1. Снижение риска

Действие: Уровень риска должен быть снижен выбором таких средств защиты, чтобы остаточный риск был оценён как приемлемый.

Руководство по реализации: Средства управления рисками могут обеспечивать одну или несколько следующих функций: контроль, предупреждение, сдерживание, снижение, исправление, предотвращение.

Во время выбора средств важно «взвешивать» стоимость их приобретения, реализации, функционирования, администрирования, мониторинга и поддержки по отношению к ценности защищаемых активов. Кроме того, рентабельность инвестиций с точки зрения снижения риска, и потенциал для использования новых возможностей бизнеса, предоставляемых определёнными средствами защиты.

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Веб-дизайн
Веб-дизайн

Книга автора бестселлера `Факс-модем: от покупки и подключения до выхода в Интернет` — Дмитрия Кирсанова — первый полный курс веб-дизайна на русском языке, написанный профессиональным дизайнером. От теоретических основ визуального дизайна до интернетовских технологий и приемов практической работы над сайтом — все это есть в книге, написанной понятно, подробно и увлекательно. Издание будет полезно не только начинающим создателям сайтов, но и дизайнерам, работающим в более традиционных областях, специалистам по рекламе и маркетингу, художникам, программистам, — и, конечно же, всем творческим и любознательным людям.

Дмитрий Михайлович Кирсанов

ОС и Сети, интернет / Интернет / Книги по IT
Читать Онлайн
Избранное