Coggle requires JavaScript to display documents.
оцінку можливих втрат через використання або залежності від технології АІС;
аналіз потенційних загроз і вразливих місць системи, що впливають на оцінки можливих втрат;
вибір оптимальних за ціною заходів і засобів захисту, які скорочують ризик до прийнятного рівня
ISO Guide 73:2002 "Risk management" на його основі ГОСТ Р 51897- 2002 - це всього лише «терміни та визначення».
BSI PD 3002 "Guide to BS 7799 risk assessment" - послужила основою для стандарту 27005 (фактично увійшла більша його частина).
NIST SP 800-30 "Risk Management Guide for Information Technology Systems" - один з найкорисніших в цій галузі. Він докладно описує сам процес аналізу ризиків і надає основні рекомендації з управління ризиками.
Австралійсько-Новозеландський AS/NZS 4360:2004 ($ 99.94 NZD) і супутній документ HB 436, "Risk Management Guidelines - Companion to AS/NZS 4360:2004" ($ 99.94 NZD)
Ризики ІБ ідентифіковані.
Ризики ІБ оцінені в термінах наслідків для бізнесу та ймовірності їх появи.
Вірогідність і наслідки цих ризиків, повідомлені та сприйняті.
Пріоритет обробки (зниження) ризиків встановлені і дії щодо зниження ризиків були здійснені
Причетні сторони (Stakeholder) залучаються при прийнятті рішень з управління ризиками. Вони завжди інформуються про статус управління ризиками.
Ефективність обробки (зниження) ризиків відстежується.
Процес управління ризиками так само моніториться і регулярно переглядається.
Збирається інформація для поліпшення управління ризиками.
Менеджери та інші співробітники навчені необхідним діям щодо зниження ризиків і розуміють свою роль в цьому.
обладнання (фізичні ресурси);
програмне забезпечення (системне, прикладне, утиліти, інші допоміжні програми);
інформаційні ресурси (бази даних, файли, всі види документації);
системні інтерфейси (зовнішні і внутрішні можливі сполуки);
люди, які користуються і підтримують IT систему (в штаті/контракт);
місія IT системи (system mission) - процес, що виконується IT системою;
сервіс і підтримуюча інфраструктура (обслуговування засобів ОТ, енергопостачання, забезпечення кліматичних параметрів і т.п.)
Context Establishment - установка контексту;
Analysis – аналіз;
Assessment – оцінка;
Estimation - приблизна оцінка, прикидка; приблизний підрахунок, розрахунок судження; думку; погляд;
Evaluation - оцінка, визначення, співвіднесення об'єкта з прийнятим критерієм;
Treatment - обробка (лікування);
Risk Treatment - обробка ризиків;
Risk Acceptance - прийняття ризиків
«ініціювання проекту» - Context Establishment (Установка контексту).
Risk Assessment (Оцінка ризику).
Risk Identification - діяльність/процес по знаходженню, складання списків та визначенню характеристик елементів ризику.
Risk Estimation - діяльність/процес пов'язана з призначенням величини ймовірності та величини наслідки ризику
Чи повинна бути зроблена спеціальна діяльність.
Пріоритети для обробки (лікування) ризику, що розглядає (яка вважає) оцінені рівні ризиків
Risk Treatment (обробка ризиків) - Mitigation (зниження).
уникнути зовсім (ліквідувати першопричину);
зменшити (що зазвичай і робиться - за гроші Компанії);
надіслати комусь іншому (страхування/outsourcing);
прийняти (неможливо досягти тотальної безпеки)
Risk Acceptance (прийняття ризиків).