Please enable JavaScript.

Coggle requires JavaScript to display documents.

Тема 8. Риск менеджмент в области информатизации - Coggle Diagram

- - - - Риски, связанные с информационной инфраструктурой:
        
        информационной безопасности,
        
        операционный бизнес-риск,
        
        риск внутреннего контроля,
        
        риски персонала
      - Риски IT-проекта.
    - - Управление рисками предприятия (Enterprise Risk Management, ERM) — это концепция, объединяющая методики и процессы, применяемые организациями для управления рисками и возможностями достижения поставленных целей.
- - - - внутренних и внешних уязвимостей;
      - потенциального ущерба организации с учетом возможностей эксплуатации уязвимостей угрозами;
      - актуальных угроз как самой организации, так и опосредованно другим организациям;
      - вероятности возникновения этого ущерба.
- - - - Точная и детальная оценка рисков требует чрезмерного количества времени и усилий для разработки, документирования и проверки;
      - Документация по рискам становится слишком объемной, что существенно затрудняет ее практическое применение;
      - Точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки.
  - - - Представителей бизнес-подразделений, имеющих информацию о ценности анализируемых ИТ-активов для основной деятельности организации;
      - Представителей технических подразделений, имеющих информацию о специфике реализации и функционирования систем и компонентов, входящих в анализируемую область, а также о присущих им уязвимостях;
      - Специалистов в области информационной безопасности;
      - Специалистов проектного офиса, организовывающих мероприятия по анализу и оценке рисков, коммуникации между участниками команды, а также сбор и систематизацию результатов совместной работы.
  - - - 1) Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
      - 2) Идентификация угроз. При составлении списка угроз могут использоваться разные подходы:
- - - - Проводится идентификация ресурсов: физических, программных и информационных, содержащихся внутри границ системы. Каждый ресурс необходимо отнести к одному из предопределенных классов.
      - Затем строится модель информационной системы с позиции ИБ. Для каждого информационного процесса, имеющего, по мнению пользователя, самостоятельное значение и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы.
      - На первой стадии анализируется все, что касается идентификации и определения ценности ресурсов системы. Она начинается с решения задачи определения границ исследуемой системы: собираются сведения о конфигурации системы и о том, кто отвечает за физические и программные ресурсы, кто входит в число пользователей системы, как они ее применяют или будут применять.