Читайте также:
|
|
Распределение организаций по их подходам к вопросам информационной безопасности иллюстрируют следующие диаграммы, относящиеся к развитым зарубежным странам (заимствованы из обзора компании KPMG), - см. рис. 1.5 и 1.6.
Рис 1.5. Контролируются ли в вашей организации инциденты в области информационной безопасности?
Рис. 1.6. Применяете ли вы формальные критерии для оценки системы информационной безопасности?
В табл. 1.3 показано, по каким критериям (если они используются) организации оценивают систему информационной безопасности.
Таблица 1.3. Критерии оценки корпоративной системы защиты информации
Критерии | Процент использования |
Корпоративные стандарты (собственная разработка) | |
Замечания аудиторов | |
Стандарты лучшей мировой практики (например, BS 7799/ISO 17799) | |
Число инцидентов в области безопасности | |
Финансовые потери в результате инцидентов | |
Расходы на ИБ | |
Эффективность в достижении поставленных целей |
Таким образом, более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков в любой постановке.
Организации третьего уровня зрелости (около 40% общего числа), пользующиеся (или планирующие пользоваться) какими-либо подходами к оценке системы информационной безопасности, следуют стандартным рекомендациям и руководствам класса «Good Practice», относящимся к базовому уровню информационной безопасности. Эти организации внедряют или планируют внедрить систему управления рисками базового уровня (возможно, ее элементы) на всех стадиях жизненного цикла информационной технологии.
Организации, принадлежащие к четвертому и пятому уровням зрелости, составляют в настоящее время не более 7% от общего числа, используют разнообразные «углубленные» методики анализа рисков, обладающие дополнительными возможностями, по сравнению с методиками базового уровня. Такого рода дополнительные возможности, позволяющие выполнять количественный анализ и оптимизацию подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.
В России доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно, наиболее востребованы в настоящее время простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня.
Потребителями количественных методик анализа рисков в России выступают в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные средства в разработку собственных (приемлемых для них) количественных методик анализа информационных рисков.
Дата добавления: 2015-09-02; просмотров: 69 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Модель Carnegie Mellon University | | | Особенности отечественных нормативных документов |