Читайте также:
|
Данный стандарт [291] подробно рассматривает вопросы управления информационными рисками. Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и обеспечить выполнение основных бизнес-целей предприятия.
Для этого система управления рисками интегрируется в систему управления жизненным циклом информационных технологий компании (см. табл. 2.2).
Таблица 2.2. Управление рисками на различных стадиях жизненного цикла информационной технологии
| Фаза жизненного цикла информационной технологии | Соответствие фазе управления рисками |
| 1. Предпроектная стадия (концепция данной ИС: определение целей и задач и их документирование) | Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ |
| 2. Проектирование ИС | Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС) |
| 3. Создание ИС: поставка элементов, монтаж, настройка и конфигурирование | До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков |
| 4. Функционирование ИС | Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС |
| 5. Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются) | Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам |
Основные стадии, которые согласно стандарту NIST 800-30 должна включать технология управления рисками, показаны на рис 2.2.
Обсудим эти стадии технологии управления информационными рисками подробнее.
Дата добавления: 2015-09-02; просмотров: 168 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Сравнение стандартов ISO 17799 и BSI | | | Алгоритм описания информационной системы |