Международный стандарт iso 17799
Определение требований к безопасности
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- Оценка рисков, связанных с информационной безопасностью
| Определение требований к безопасности
Любая организация должна определить свои требования к безопасности. При оценке требований используются три основных показателя. Первым показателем служит оценка рисков, с которыми сталкивается организация. Путем оценки рисков определяется угрозы для ресурсов, их уязвимость и вероятность возникновения угроз, а также возможный ущерб. Второй показатель – это законодательные, нормативные и договорные требования, которые должна соблюдать организация, ее партнеры по бизнесу, подрядчики и поставщики услуг. Третий показатель – это определенный набор принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности. Оценка рисков, связанных с информационной безопасностью Определение требований к безопасности производится путем методической оценки рисков. Расходы на поддержку безопасности необходимо сбалансировать с ущербом для бизнеса, который может возникнуть при нарушении безопасности. Методы оценки рисков могут применяться ко всей организации или лишь к ее частям, а также к отдельным информационным системам, системным компонентам и сервисам, в зависимости от того, что окажется наиболее практичным, реалистичным и полезным. Оценка рисков – это систематический анализ следующих показателей: a) ущерб для бизнеса, который может возникнуть при нарушении безопасности. При этом следует учитывать возможные последствия утраты конфиденциальности, целостности или доступности информации и других ресурсов; b) оценка вероятности такого нарушения с учетом известных опасностей, уязвимостей и реализованных средств защиты. Результаты такой оценки помогут определить необходимые действия и приоритеты для управления рисками, связанными с информационной безопасностью, и для реализации выбранных средств защиты от этих рисков. Процесс оценки рисков и выбора средств защиты может потребоваться выполнить несколько раз, чтобы охватить различные части организации или отдельные информационные системы. Время от времени следует заново анализировать риски и реализованные средства, чтобы: a) учесть изменения бизнес-требований и приоритетов; b) принять во внимание новые угрозы и уязвимости; c) убедиться в том, что реализованные средства сохранили эффективность. Уровень выполняемых проверок может различаться в зависимости от результатов предыдущей оценки и изменения приоритетов различных рисков. Часто оценка рисков производится в два этапа: сначала на высоком уровне, чтобы определить приоритеты ресурсов в областях повышенного риска, а затем с большей детализацией, чтобы проанализировать специфические риски. |