Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Идентификация риска

Читайте также:
  1. I. ИДЕНТИФИКАЦИЯ УГРОЗ
  2. Акушерско-гинекологические факторы риска гестоза
  3. АНАЛИЗ И ПРИНЯТИЕ РЕШЕНИЙ В УСЛОВИЯХ НЕОПРЕДЕЛЕННОСТИ И РИСКА
  4. В своей книге «Трансформации сознания» я перечисляю следующие особенности личности: идентификация, организация, воля или внимание, защита, метаболизм и навигация.
  5. Вероятностный подход к оценке ситуации. Оценка риска.
  6. ВЫЖИДАТЕЛЬНАЯ ТАКТИКА ВЕДЕНИЯ: ВРАЧИ ВЕДУТ РЕБЕНКА С ЭСО, ВНЕ ГРУППЫ РИСКА, ИСПОЛЬЗУЯ ВЫЖИДАТЕЛЬНУЮ ТАКТИКУ ДО 3 МЕСЯЦЕВ С МОМЕНТА ПОЯВЛЕНИЯ ВЫПОТА (ЕСЛИ ИЗВЕСТНО) ИЛИ ДИАГНОСТИКИ
  7. Вычисление риска на скрининговом уровне

Цель идентификации риска - определить, что могло бы произойти при нанесении возможного ущерба, и получить представление о том, как, где и почему мог иметь место этот ущерб. Этапы, описанные ниже, должны объединять входные данные для деятельности по количественной оценке риска.

Входные данные. Сфера действия и границы проведения оценки риска, перечень, включающий владельцев, местоположение, функцию и т.д.

Действие. Должны быть определены активы, входящие в установленную сферу действия.

Руководство по реализации. Активом является что-либо, имеющее ценность для организации и, следовательно, нуждающееся в защите. При определении активов следует иметь в виду, что информационная система состоит не только из аппаратных и программных средств.

Определение активов следует проводить с соответствующей степенью детализации, обеспечивающей информацию, достаточную для оценки риска. Степень детализации, используемая при определении активов, влияет на общий объем информации, собранной во время оценки риска. Эта информация может быть более детализирована при последующих итерациях оценки риска.

Для установления учетности и ответственности в отношении каждого актива должен быть определен владелец. Владелец актива может не обладать правами собственности на актив, но он несет ответственность за его получение, разработку, поддержку, использование и безопасность. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации.

Границей анализа является периметр активов организации, управляемый в рамках процесса менеджмента риска ИБ.

Выходные данные. Перечень активов, подлежащих менеджменту риска, и перечень бизнес-процессов, связанных с активами, а также их значимость.

 

2.3 Классификация информационных систем по безопасности

 

Согласно ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем».

Функциональные требования безопасности для автоматизированных систем, включенные в рассматриваемый проект, относятся к организационным

(административным и процедурным) регуляторам.

Они структурированы по трем характеристикам:

– субъект регулирования (руководство организации, производственные данные, системы ИТ, поддерживающая инфраструктура и т.п.);

– функциональная область (политика безопасности, оценка рисков, протоколирование/аудит и т.п.);

– действие в заданной функциональной области (утверждение политики безопасности, управление рисками в организации, доклад об обнаруженном нарушении безопасности и т.п.).

Субъект регулирования определяет класс функциональных требований, функциональная область – семейство в классе, действие – компонент в семействе. Реализация классов объекта защиты, описывается в разделе 3.

 


Дата добавления: 2015-10-13; просмотров: 290 | Нарушение авторских прав


Читайте в этой же книге: Общие сведения | Класс FOP: инфраструктура и оборудование | Организационное обеспечение информационной безопасности | Меры по разграничению доступа | Установка аппаратного межсетевого экрана D-Link | Генеральный директор |
<== предыдущая страница | следующая страница ==>
Анализ угроз информационной безопасности| Класс FOS: системы ИТ

mybiblioteka.su - 2015-2024 год. (0.005 сек.)