Международный стандарт iso 17799


Определение требований к безопасности



Pdf көрінісі
бет15/108
Дата09.09.2023
өлшемі0.79 Mb.
#476996
түріРеферат
1   ...   11   12   13   14   15   16   17   18   ...   108
ISO IEC 17799 2000 rus

Определение требований к безопасности 
Любая организация должна определить свои требования к безопасности. При оценке 
требований используются три основных показателя. 
Первым показателем служит оценка рисков, с которыми сталкивается организация. Путем 
оценки рисков определяется угрозы для ресурсов, их уязвимость и вероятность 
возникновения угроз, а также возможный ущерб. 
Второй показатель – это законодательные, нормативные и договорные требования, которые 
должна соблюдать организация, ее партнеры по бизнесу, подрядчики и поставщики услуг.
Третий показатель – это определенный набор принципов, целей и требований к обработке 
информации, разработанных организацией для поддержки своей деятельности.
Оценка рисков, связанных с информационной безопасностью
Определение требований к безопасности производится путем методической оценки рисков. 
Расходы на поддержку безопасности необходимо сбалансировать с ущербом для бизнеса, 
который может возникнуть при нарушении безопасности. Методы оценки рисков могут 
применяться ко всей организации или лишь к ее частям, а также к отдельным 
информационным системам, системным компонентам и сервисам, в зависимости от того, что 
окажется наиболее практичным, реалистичным и полезным. 
Оценка рисков – это систематический анализ следующих показателей:
a) ущерб для бизнеса, который может возникнуть при нарушении безопасности. При 
этом следует учитывать возможные последствия утраты конфиденциальности
целостности или доступности информации и других ресурсов;
b) оценка вероятности такого нарушения с учетом известных опасностей, уязвимостей и 
реализованных средств защиты.
Результаты такой оценки помогут определить необходимые действия и приоритеты для 
управления рисками, связанными с информационной безопасностью, и для реализации 
выбранных средств защиты от этих рисков. Процесс оценки рисков и выбора средств защиты 
может потребоваться выполнить несколько раз, чтобы охватить различные части организации 
или отдельные информационные системы. 
Время от времени следует заново анализировать риски и реализованные средства, чтобы:
a) учесть изменения бизнес-требований и приоритетов;
b) принять во внимание новые угрозы и уязвимости;
c) убедиться в том, что реализованные средства сохранили эффективность.
Уровень выполняемых проверок может различаться в зависимости от результатов 
предыдущей оценки и изменения приоритетов различных рисков. Часто оценка рисков 
производится в два этапа: сначала на высоком уровне, чтобы определить приоритеты 
ресурсов в областях повышенного риска, а затем с большей детализацией, чтобы 
проанализировать специфические риски. 




Достарыңызбен бөлісу:
1   ...   11   12   13   14   15   16   17   18   ...   108




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет