Читайте также:
|
Распределение организаций по их подходам к вопросам информационной безопасности иллюстрируют следующие диаграммы, относящиеся к развитым зарубежным странам (заимствованы из обзора компании KPMG), - см. рис. 1.5 и 1.6.
Рис 1.5. Контролируются ли в вашей организации инциденты в области информационной безопасности?
Рис. 1.6. Применяете ли вы формальные критерии для оценки системы информационной безопасности?
В табл. 1.3 показано, по каким критериям (если они используются) организации оценивают систему информационной безопасности.
Таблица 1.3. Критерии оценки корпоративной системы защиты информации
| Критерии | Процент использования |
| Корпоративные стандарты (собственная разработка) | |
| Замечания аудиторов | |
| Стандарты лучшей мировой практики (например, BS 7799/ISO 17799) | |
| Число инцидентов в области безопасности | |
| Финансовые потери в результате инцидентов | |
| Расходы на ИБ | |
| Эффективность в достижении поставленных целей |
Таким образом, более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков в любой постановке.
Организации третьего уровня зрелости (около 40% общего числа), пользующиеся (или планирующие пользоваться) какими-либо подходами к оценке системы информационной безопасности, следуют стандартным рекомендациям и руководствам класса «Good Practice», относящимся к базовому уровню информационной безопасности. Эти организации внедряют или планируют внедрить систему управления рисками базового уровня (возможно, ее элементы) на всех стадиях жизненного цикла информационной технологии.
Организации, принадлежащие к четвертому и пятому уровням зрелости, составляют в настоящее время не более 7% от общего числа, используют разнообразные «углубленные» методики анализа рисков, обладающие дополнительными возможностями, по сравнению с методиками базового уровня. Такого рода дополнительные возможности, позволяющие выполнять количественный анализ и оптимизацию подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.
В России доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно, наиболее востребованы в настоящее время простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня.
Потребителями количественных методик анализа рисков в России выступают в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные средства в разработку собственных (приемлемых для них) количественных методик анализа информационных рисков.
Дата добавления: 2015-09-02; просмотров: 69 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Модель Carnegie Mellon University | | | Особенности отечественных нормативных документов |