Please enable JavaScript.
Coggle requires JavaScript to display documents.
УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ISO/IEC 27005 - Coggle Diagram
УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. ISO/IEC 27005
Підходи до управління ризикам ІБ.
Процес аналізу ризиків включає:
оцінку можливих втрат через використання або залежності від технології АІС
аналіз потенційних загроз і вразливих місць системи, що впливають на оцінки можливих втрат
вибір оптимальних за ціною заходів і засобів захисту, які скорочують ризик до прийнятного рівня
Проблеми, які повинні бути вирішені при оцінці захищеності ІС, включають
з питань цінностей
з питань загроз
з питань впливів
з питань наслідків
з питань заходів захисту
з питань ризиків
Цілі аналізу ризиків
Ефективність обробки (зниження) ризиків відстежується
Причетні сторони (Stakeholder) залучаються при прийнятті рішень з управління ризиками
Пріоритет обробки (зниження) ризиків встановлені і дії щодо зниження ризиків були здійснені
Вірогідність і наслідки цих ризиків, повідомлені та сприйняті
Ризики ІБ оцінені в термінах наслідків для бізнесу та ймовірності їх появи
Ризики ІБ ідентифіковані
Збирається інформація для поліпшення управління ризиками
Вимоги стандарту ISO/IEC 27005.
Вплив
несприятлива зміна рівня досягнутих бізнес цілей
Ризики ІБ
можливість, що дана загроза експлуатує уразливість активу або групи активів і таким чином заподіє шкоди організації.
Актив/Ресурс
це все, що представляє цінність з точки зору організації, і тому є об'єктом захисту
обладнання
програмне забезпечення
інформаційні ресурси
системні інтерфейси
люди, які користуються і підтримують IT систему
місія IT системи
сервіс і підтримуюча інфраструктура
Загроза безпеки
потенційне порушення безпеки. В системах обробки даних - потенційна дія чи подія, яка може призвести до порушення одного або більше аспектів безпеки інформаційної системи.
Уразливість
слабкість в системі захисту , вона робить можливою реалізацію загрози. Вона пов'язана з «природою активів» або оточуючими умовами
Контролі
сервіси ІБ або спеціальні механізми, розроблені для протистояння певну загрозу/уразливості
Інформаційна безпека
захист конфіденційності, цілісності та доступності інформації
конфіденційність: надання доступу до інформації тільки тим, у кого є право на доступ до неї
цілісність: захист точності і повноти інформації і методів обробки
доступність: забезпечення доступу до інформації і пов'язаним з нею ресурсів авторизованим користувачам в міру необхідності
Загальний процес Risk Management
Context Establishment
Вхід процесу
вся інформація про Компанію, що має відношенню до управління ризиками ІБ
Вихід процесу
установлення (бажано у вигляді документів, специфікацій):
основні критерії
область діяльності і межі
організація процесу управління ризиками
Risk Assessment
Risk Analysis
Identification
діяльність/процес по знаходженню, складання списків та визначенню характеристик елементів ризику
Estimation
діяльність/процес пов'язана з призначенням величини ймовірності та величини наслідки ризику
Risk Evaluation
співвіднести досягнуті рівні з попередньо встановленими раніше критеріями
Risk Treatment
досягти прийнятного рівня ризиків
Risk Acceptance