Please enable JavaScript.
Coggle requires JavaScript to display documents.
8 УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ISO/IEC 27005 - Coggle…
8 УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ. ISO/IEC 27005
Підходи до управління ризикам ІБ.
Процес аналізу ризиків включає
оцінку можливих втрат через використання або залежності від технології АІС;
аналіз потенційних загроз і вразливих місць системи, що впливають на оцінки можливих втрат;
вибір оптимальних за ціною заходів і засобів захисту, які скорочують ризик до прийнятного рівня.
Cтандарти з управління
ризиками
ISO Guide 73:2002 "Risk management"
BSI PD 3002 "Guide to BS 7799 risk assessment"
NIST SP 800-30 "Risk Management Guide for Information Technology Systems"
Австралійсько-Новозеландський AS/NZS 4360:2004 ($ 99.94 NZD) і супутній документ HB 436, "Risk Management Guidelines - Companion to AS/NZS 4360:2004"
ISO/IEC 27005:20011
Цілі аналізу ризиків:
Ризики ІБ ідентифіковані.
Ризики ІБ оцінені в термінах наслідків для бізнесу та ймовірності їх появи.
Вірогідність і наслідки цих ризиків, повідомлені та сприйняті.
Пріоритет обробки (зниження) ризиків встановлені і дії щодо зниження ризиків були здійснені
Ефективність обробки (зниження) ризиків відстежується.
Вимоги стандарту ISO/IEC 27005
класи активів
обладнання (фізичні ресурси);
програмне забезпечення;
інформаційні ресурси;
системні інтерфейси;
люди, які користуються і підтримують IT систему;
процес, що виконується IT системою;
сервіс і підтримуюча інфраструктура
Інформаційна безпека - захист конфіденційності, цілісності та доступності інформації
Процес аналізу ризиків
«ініціювання проекту»
Оцінка ризикуобробка ризиків
обробка ризиків
прийняття ризиків
аналіз ризику
Фази управління ризиками:
1) Оцінка ризиків, що включає аналіз і оцінювання ризиків.
2) Обробка ризику - вибір і реалізація заходів і засобів безпеки.
3) Контроль ризиків шляхом моніторингу, тестування, аналізу механізмів безпеки, а також аудиту системи.
4) Оптимізація ризиків шляхом модифікації і оновлення правил, заходів і засобів безпеки.