Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

Мониторинг рисков – процесс отслеживания идентифицированных рисков, мониторинга остаточных рисков, идентификации новых рисков, исполнения плана обработки рисков и оценки его эффективности. Непрерывный мониторинг может поддерживаться внешними сервисами, которые обеспечивают информацию о новых угрозах или уязвимостях.

Необходимо проводить непрерывный мониторинг следующих факторов:

– новые активы, которые были включены в сферу действия управления рисками;

– изменение ценности активов, например, вследствие изменившихся бизнес-требований;

– новых угроз, которые могут быть активными вне и внутри организации, и которые ещё не оценивались;

– вероятности того, что новые или увеличившиеся уязвимости могут позволить угрозам их использовать;

– идентифицированные уязвимости для определения тех уязвимостей, которые становятся подверженными новым или повторно возникающим угрозам;

– повышенное влияние последствий оценённых угроз, уязвимостей и рисков, объединение которых имеет результатом неприемлемый уровень риска;

– инциденты ИБ.

Мониторинг рисков важен для эффективной реализации действий, запланированных на предыдущих этапах. Он обеспечивает своевременное исполнение превентивных мер и планов по смягчению последствий и выполняется с помощью признаков, указывающих на возможность то, что события риска произошли или произойдут в ближайшее время.

Примеры параметров, к которым могут быть привязаны признаки рисков и за которыми может проводиться мониторинг:

– количество «открытых» (найденных и неисправленных) ошибок системы;

– среднее за неделю количество сверхурочных часов работы на одного сотрудника;

– еженедельное количество изменений в требованиях к разрабатываемой системе;

– изменения бизнес-процессов;

– своевременность выделения требуемых ресурсов;

– техническое обеспечение работ.

Мониторинг и улучшение рисков является последним этапом управления рисками и включет следующие мероприятия:

– мониторинг и пересмотр рисков;

– анализ и улучшение управления рисками.

6.1. Пересмотр рисков

Входные данные: Вся информация о рисках, полученная в результате управления рисками.

Действие: Риски и их факторы (ценность активов, угрозы, уязвимости, вероятность риска) должны подвергаться мониторингу и пересмотру с целью идентификации любых изменений на ранней стадии.

Руководство по реализации: Пересмотр рисков должен проводиться регулярно, согласно расписанию, составленному на этапе планирования. В процессе мониторинга рисков может возникать необходимость в проведении идентификации новых рисков, пересмотре состояния известных рисков и планировании дополнительных мероприятий по обработке рисков.

Выходные данные: Непрерывное согласование управления рисками с бизнес-целями и критериями принятия риска.

6.2. Анализ и улучшение

Входные данные: Вся информация о рисках, полученная в результате управления рисками.

Действие: Процесс управления рисками должен постоянно подвергаться анализу и улучшению.

Руководство по реализации: Постоянный анализ необходим для обеспечения уверенности в том, что результаты оценки и обработки рисков, а также план обработки рисками соответствуют реальным обстоятельствам. Необходимо регулярно проверять, что критерии измерения риска и его элементов по-прежнему остаются действительными и согласующимися с бизнес-целями, стратегиями и политиками ИБ.

Эта деятельность должна уделять внимание:

– правовой сфере и условиям окружающей среды;

– сфере конкуренции;

– подходу к оценке риска;

– ценности и категориям активов;

– критериям влияния на активы и процессы;

– критериям оценки риска;

– критериям принятия риска;

– полной стоимости эксплуатации активов;

– необходимым ресурсам.

Организация должна обеспечивать уверенность в том, что ресурсы оценки и обработки рисков постоянно доступны для пересмотра рисков, рассмотрения новых или изменившихся угроз и уязвимостей и соответствующего уведомления руководства.

Анализ должен обеспечить изменение или улучшение подхода, методологии или инструментальных средств, используемых в зависимости от:

– идентифицированных изменений;

– итерации оценки риска;

– цели процесса управления рисками (например, непрерывность бизнеса, устойчивость к инцидентам, совместимость);

– объекта процесса управления рисками (например, организация, бизнес-подразделение, информация, приложение, подключение к Интернет).

Выходные данные

Непрерывная значимость процесса управления рисками ИБ для бизнес-целей организации.

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Веб-аналитика: анализ информации о посетителях веб-сайтов
Веб-аналитика: анализ информации о посетителях веб-сайтов

Компании в веб-пространстве тратят колоссальные средства на веб-аналитику и оптимизацию своих веб-сайтов, которые, в свою очередь, приносят миллиарды долларов дохода. Если вы аналитик или работаете с веб-данными, то эта книга ознакомит вас с новейшими точками зрения на веб-аналитику и то, как с ее помощью сделать вашу компанию весьма успешной в веб. Вы изучите инструментальные средства и показатели, которые можно использовать, но что важнее всего, эта книга ознакомит вас с новыми многочисленными точками зрения на веб-аналитику. Книга содержит много советов, приемов, идей и рекомендаций, которые вы можете взять на вооружение. Изучение веб-аналитики по этой уникальной книге позволит познакомиться с проблемами и возможностями ее современной концепции. Написанная практиком, книга охватывает определения и теории, проливающие свет на сложившееся мнение об этой области, а также предоставляет поэтапное руководство по реализации успешной стратегии веб-аналитики.Эксперт в данной области Авинаш Кошик в присущем ему блестящем стиле разоблачает укоренившиеся мифы и ведет по пути к получению действенного понимания аналитики. Узнайте, как отойти от анализа посещаемости сайта, почему основное внимание следует уделять качественным данным, каковы методы обретения лучшего понимания, которое поможет выработать мировоззрение, ориентированное на мнение клиента, без необходимости жертвовать интересами компании.- Изучите все преимущества и недостатки методов сбора данных.- Выясните, как перестать подсчитывать количество просмотренных страниц, получить лучшее представление о своих клиентах.- Научитесь определять ценность показателей при помощи тройной проверки "Ну и что".- Оптимизируйте организационную структуру и выберите правильный инструмент аналитики.- Изучите и примените передовые аналитические концепции, включая анализ SEM/PPC, сегментацию, показатели переходов и др.- Используйте решения с быстрым началом для блогов и электронной торговли, а также веб-сайтов мелкого бизнеса.- Изучите ключевые компоненты платформы экспериментирования и проверки.- Используйте анализ конкурентной разведки для обретения понимания и принятия мер.Здесь также находятся:- Десять шагов по улучшению веб-аналитики.- Семь шагов по созданию управляемой данными культуры в организации.- Шесть способов замера успеха блога.- Три секрета создания эффективной веб-аналитики.- Десять признаков великого веб-аналитика.

Авинаш Кошик

ОС и Сети, интернет
Читать Онлайн
Избранное