`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

(Не)приемлемые риски

+15
голосов

Когда речь заходит об информационных рисках, часто от руководителей разного уровня приходится слышать о том, что для их организации никаких таких рисков не существует. Поэтому, думаю, будет совсем не лишним поговорить немного об информационных рисках. Чтобы понять, какие риски есть, всё-таки придется провести кое-какое исследование...

Вы можете обратиться к консалтерам, которые сделают всё за вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это будет очень хороший, но вместе с тем и весьма недешёвый вариант. Но если с деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает практика, для большинства компаний эта задача вполне может решаться и без привлечения сторонних экспертов.

В общем случае процесс оценки рисков выглядит так: построение модели информационной инфраструктуры организации, выявление взаимозависимостей отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые могут приводить к реализации указанных угроз для каждого ресурса; оценка вероятности реализации каждой угрозы и её возможных последствий. Последний пункт этого списка – самый сложный на практике, поскольку для определения вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка информации) необходима статистика, которой в распоряжении организации может и не быть. Впрочем, распространённые методики оценки рисков, которые легко можно найти в специализированной литературе и даже во Всемирной паутине, позволяют оценить риски и без применения большого объёма статистических данных.

После оценки вероятности и стоимости необходимо оценить также степень критичности каждой из угроз для всей информационной системы в целом (для этого можно применить собственную шкалу с положительными баллами). Результирующую степень риска можно положить как произведение трёх величин: вероятности, стоимости и критичности. Соответственно, защищать нужно в первую очередь те информационные ресурсы, для которых степень риска максимальна. То есть, необходимо выделить какой-то максимально допустимый уровень угрозы, выше которого защита должна быть особенно мощной. На практике этот уровень вычисляется исходя из выделенного на нужды ИБ бюджета.

На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать которые рекомендует законодательство, не очень много ресурсов из другого списка – того, который составили вы сами на основе оценки рисков. В этом нет ничего страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные угрозы.

(Не)приемлемые риски

+15
голосов

Напечатать Отправить другу

Читайте также

Приведите пример практической оценки хоть одного ИТ риска

Какова вероятность банального повреждения инфраструктуры, наприимер, телекоммуникаций - возьмём для конкретности оптический кабель в центре Киева соединяющий точки А и Б?

Я бы усложнил задачу оценки риска - в чем измеряется риск:
- в деньгах
- в часах
- в процентах
- в других единицах
или для разных рисков размерность единицы измерения будет разная?

Виктор, могу предложить свой ответ на Ваш вопрос http://vgninyuk.blogspot.com/2012/08/ra.html ;-)

пользуясь Вашей терминологией

Каков риск (в тугриках) банального повреждения инфраструктуры, наприимер, телекоммуникаций - возьмём для конкретности оптический кабель в центре Киева соединяющий точки А и Б?

Алексей,

Я готов обсудить этот вопрос, но я не могу понять какой режим обсуждения вы хотите установить: серьезный или шутливый...
Могу в обоих ;-)

Владимир, давайте опробуем шутливый вариант, т.к. серьёзный вариант ответа жду от автора блога

Поддерживаю вариант хорошего стёба на эту тему. Главное, что всем нам есть что сказать.

ОК. Предлагаю рассмотреть ответ на первичный вопрос (о вероятности). Сколько руководителей "сьедят" ответ риск-менеджера? (ведь он и не соврал):"При доверительном интервале 10%, вероятность повреждение оптического кабеля между точками А и Б, в центре Киева, составляет 95% в ближайшие 25 лет."

Если доверительный интервал установить на уровне 95%... что это изменит? ;-)

Это ничего не изменит, так как вероятность повреждения оптической магистрали в центре г. Киева в течении 10 лет составляет 100% и выше! (то есть они уже повреждены, но мы пока об этом не знаем :))

А вот ответ CEO/владельцев бизнеса очень сильно зависит от сути и ритма бизнеса.

:)
Владимир, я знаю, что Вы можете ответить. Но это был вопрос топик-стартеру. Но мне что-тотподсказывает, что ответы он не читает или не получает

Им некогда, скоро новый пост :-)

Я уже знаю о чем будет мой следующий пост в блоге :)

Бог мой, опять перепосты-изложения. Алексей, не проще ли просто постить ссылки на википедию?

Спам-блог какой-то.

http://twitter.com/IMykhalitsyn

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT