Please enable JavaScript.
Coggle requires JavaScript to display documents.
Риск менеджмент в области информатизации - Coggle Diagram
Риск менеджмент в области
информатизации
Общие положения
Риск — это вероятное возникновение события, которое окажет
отрицательное воздействие на достижение поставленных целей.
Классификация рисков
Риски, связанные с информационной инфраструктурой:
● риск внутреннего контроля,
● информационной безопасности,
● операционный бизнес-риск,
● риски персонала
Риски IT-проекта
Современные концепции управления рисками
Модель зрелости
Уровень 1. "Анархия"
Уровень 2. "Фольклор"
Уровень 3. "Стандарты"
Уровень 4. "Измеряемый"
Уровень 5. "Оптимизируемый"
Управление рисками в соответствии
со стандартом NIST 800-30
Предпроектная стадия ИС (концепция данной ИС: определение целей и задач и их документация)
Проектирование ИС
Создание ИС: поставка элементов, монтаж, настройка и конфигурирование
Функционирование ИС
Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используется по назначению и утилизируются)
FRAP
Причины применения FRAP
● Точная и детальная оценка рисков требует чрезмерного количества
времени и усилий для разработки, документирования и проверки;
● Документация по рискам становится слишком объемной, что
существенно затрудняет ее практическое применение;
● Точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки.
Подготовка к анализу
1) Определение защищаемых активов производится с использованием опросных листов, изучения документации на систему, использования инструментов автоматизированного анализа (сканирования) сетей.
2) Идентификация угроз.
4) После того как угрозы идентифицированы и дана оценка риска, должны быть определены контрмеры, позволяющие устранить риск или свести его до приемлемого уровня.
5) Документирование. Когда оценка рисков закончена, ее результаты должны быть подробно документированы в стандартизованном формате. Полученный отчет может быть использован при определении политик, процедур, бюджета безопасности и т.д.
Оценка вероятности и воздействий
высокая - очень вероятно, что угроза реализуется в течение следующего
года;
средняя - возможно угроза реализуется в течение следующего года;
низкая - маловероятно, что угроза реализуется в течение следующего
года.
Матрица серьезности рисков
Стратегии реагирования
CRAMM
Оценка воздействия риска
Оценка вероятности риска
