Читайте также:
|
Концепція проекту ISO 27005, по суті, відповідає концепції BS 7799-3, а також NIST SP 800-30:2002. У цілому, і BS 7799-3 і проект 27005 мають описовий характер і не містять конкретних вимог до способів управління ризиками. Стандарти дозволяють самостійно врахувати різні аспекти СУІБ, ідентифікувати рівні ризику, визначити критерії для прийняття ризику, ідентифікувати прийнятні рівні ризику і т.д. Стандарти дотримуються безперервного 4-процесного підходу до менеджменту систем якості, включають аналогічні етапи аналізу, оцінки та управління, правила і рекомендації, носять ітеративний характер, не висувають конкретних вимог до методів, містять вимоги щодо інформативності кожного етапу. Можна відзначити деяку тенденцію до деталізації етапів і додаванні прикладів у чергових версіях проекту 27005.
Всі сучасні стандарти в області безпеки - NIST SP 800-30, BS 7799-3 і проект ISO 27005 відображають що склався в міжнародній практиці загальний процесний підхід до організації управління ризиками. При цьому управління ризиками представляється як базова частина системи менеджменту якості організації. Стандарти носять відверто концептуальний характер, що дозволяє експертам по ІБ реалізувати будь-які методи, засоби і технології оцінки, відпрацювання та управління ризиками. З іншого боку, стандарти не містять рекомендацій з вибору будь-якого апарату оцінки ризику, а також з синтезу заходів, засобів і сервісів безпеки, які використовуються для мінімізації ризиків, що знижує корисність стандартів як технологічних документів.
Потреба у відповідному національному стандарті з управління ризиками визначається не тільки популяризацією економічно виправданих підходів до ІБ, але і вимог та рекомендацій, заданими ГОСТ 27001:2005 і ГОСТ 17799:2005, а також витікає з вимог до організації бізнес-процесів, визначених в актуальних стандартах серії 9000. Недоліки ISO 27005 або BS 7799-3 (відсутність конкретних методик)
З огляду на окремі некоректності переказів стандартів серії 27000 та досвід міжнародного визнання ГОСТ ІСО 15408, хочеться сподіватися, що розвиток нормативної бази в нашій країні буде рухатися шляхом прийняття ГОСТ, автентичного ISO 27005 або BS 7799-3.
Реальними стимулами для розвитку нормативного напрямку, пов'язаного з управлінням ризиками може бути становлення системи національної сертифікації СУІБ або розвиток принципів сертіфікаціі систем менеджменту якості в напрямку виконання вимог з ІБ.
Висновки
Вибір якісного або кількісного підходів до оцінки ризиків, визначається характером бізнесу організації та рівнем його інформатизації, тобто важливістю для нього інформаційних активів, а також рівнем зрілості організації.
====================================================================
=========================================================================================================================================================================================================================================================================================================================================================
Дата добавления: 2015-11-14; просмотров: 61 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Реактивний підхід | | | Информационная безопасность |