`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Неприемлемые риски

–13
голоса

Для того чтобы понять, какие риски приемлемы, а какие – нет, их сначала необходимо оценить. Вы можете обратиться к консалтерам, которые сделают всё за вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это будет очень хороший, но вместе с тем и весьма недешёвый вариант. Но если с деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает практика, для большинства компаний эта задача вполне может решаться и без привлечения сторонних экспертов.

В общем случае процесс оценки рисков выглядит так: построение модели информационной инфраструктуры организации, выявление взаимозависимостей отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые могут приводить к реализации указанных угроз для каждого ресурса; оценка вероятности реализации каждой угрозы и её возможных последствий. Последний пункт этого списка – самый сложный на практике, поскольку для определения вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка информации) необходима статистика, которой в распоряжении организации может и не быть. Впрочем, распространённые методики оценки рисков, которые легко можно найти в специализированной литературе и даже во Всемирной паутине, позволяют оценить риски и без применения большого объёма статистических данных.

После оценки вероятности и стоимости необходимо оценить также степень критичности каждой из угроз для всей информационной системы в целом (для этого можно применить собственную шкалу с положительными баллами). Результирующую степень риска можно положить как произведение трёх величин: вероятности, стоимости и критичности. Соответственно, защищать нужно в первую очередь те информационные ресурсы, для которых степень риска максимальна. То есть, необходимо выделить какой-то максимально допустимый уровень угрозы, выше которого защита должна быть особенно мощной. На практике этот уровень вычисляется исходя из выделенного на нужды ИБ бюджета.

На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать которые рекомендует законодательство, не очень много ресурсов из другого списка – того, который составили вы сами на основе оценки рисков. В этом нет ничего страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные угрозы.

Неприемлемые риски

–13
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT