|
Читайте также: |
Нині відома безліч табличних методів оцінки інформаційних ризиків компанії. Ці методи оцінювання ризиків рекомендовані міжнародними стандартами інформаційної безпеки, головним чином ISO 17799(BS 7799). Істотно, що в цих рекомендованих методах кількісні показники існуючих або пропонованих фізичних ресурсів компанії оцінюються з точки зору вартості їх заміни або відновлення працездатності ресурсу. А існуючі або передбачувані програмні ресурси оцінюються так само, як і фізичні, тобто за допомогою визначення витрат на їх придбання або відновлення.
Найбільше поширення серед методик оцінки ризиків отримала методика "матриці ризиків". Це досить проста методика аналізу ризиків. В процесі оцінки експертами визначаються вірогідність виникнення кожного ризику і розмір пов'язаних з ним втрат(вартість ризику). Причому оцінювання робиться за шкалою з трьома градаціями: " високою", " середньою", " низькою". На базі оцінок для окремих ризиків виставляється оцінка системі в цілому(у вигляді клітини в такій же матриці), а самі риски ранжируються. Ця методика дозволяє швидко і коректно зробити оцінку. Але, на жаль, дати інтерпретацію отриманих результатів не завжди можливо.
ISO/IEC 17799 - стандарт інформаційної безпеки, опублікований в 2005 році організаціями ISO і IEC. Він озаглавлений Інформаційні технології - Технології безпеки - Практичні правила менеджменту інформаційної безпеки(англ. Information technology - Security techniques - Code of practice for information security management). Поточна версія стандарту є переробкою версії, опублікованої в 2000 році, яка була повною копією Британського стандарту BS 7799-1: 1999.
Стандарт надає кращі практичні поради по менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем менеджменту інформаційної безпеки. Інформаційна безпека визначається стандартом як "збереження конфіденційності(упевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності(гарантії точності і повноти інформації і методів її обробки) і доступності (гарантії в тому, що уповноважені користувачі мають доступ до інформації і пов'язаних ресурсів)".
Поточна версія стандарту складається з наступних основних розділів:
Політика безпеки(Security policy)
Організація інформаційної безпеки(Organization of information security)
Управління ресурсами(Asset management)
Безпека людських ресурсів(Human resources security)
Фізична безпека і безпека оточення(Physical and environmental security)
(Communications and operations management)
Контроль доступу(Access control)
Information systems acquisition, development and maintenance
Information security incident management
Business continuity management
Compliance
ISO 17799 / BS 7799
Інформація це ресурс, який, як і інші бізнес ресурси, має цінність для організації і, отже, потребує належного захисту. Інформаційна безпека захищає інформацію від широкого спектру загроз з метою забезпечення безперервності бізнесу, мінімізації збитку, максимізації прибули на інвестований капітал і створення сприятливих можливостей для бізнесу. В термінах справжнього стандарту інформаційна безпека характеризується як:
a) Конфіденційність: забезпечення доступу до інформації тільки для авторизованих користувачів;
b) Цілісність: забезпечення повноти і точності інформації і методів її обробки;
c) Доступність: забезпечення доступу до інформації і суміжних ресурсів авторизованих користувачів тоді, коли їм це необхідно.
Інформаційна безпека досягається впровадженням прийнятного набору механізмів контролю, який може включати політики, практики, процедури, організаційні структури і функції програмного забезпечення. Ці механізми контролю потрібні для досягнення конкретних завдань організації в області забезпечення інформаційної безпеки.
Дата добавления: 2015-11-14; просмотров: 66 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Ціль оцінки ризику. | | | Оцінка ризиків на основі нечіткої логіки. |