Please enable JavaScript.
Coggle requires JavaScript to display documents.
Риск-менеджмент в области информатизации - Coggle Diagram
Риск-менеджмент в области информатизации
Общие положения
Риск
Вероятное возникновение события, которое окажет отрицательное воздействие на достижение поставленных целей
Классификация рисков
Риски, связанные с информационной инфраструктурой
Риск внутреннего контроля
Информационной безопасности
Операционный бизнес-риск
Риски персонала
Риски IT-проекта
Учет рисков в системах управления
представляет собой непрерывный процесс, охватывающий всю организацию и осуществляемый на всех уровнях, включая выработку стратегии
Нацелено на определение событий, которые представляют опасность для организации
Современные концепции управления рисками
Модель зрелость
Уровень 1. Анархия
Уровень 2. Фольклор
Уровень 3. Стандарты
Уровень 4. Измеряемый
Уровень 5. Оптимизируемый
FRAP
Причины применения
Точная и детальная оценка рисков требует чрезмерного количества времени и усилий для разработки, документирования и проверки
Документация по рискам становится слишком объемной, что существенно затрудняет ее практическое применение
Точные оценки потерь и вероятности реализации угроз, как правило, не являются необходимыми для ранжирования рисков и определения приоритета их обработки
Формирование команды
Представители бизнес-подразделений, имеющие информацию о ценности анализируемых ИТ-активов для основной деятельности организации
Представители технических подразделений, имеющие информацию о специфике реализации и функционирования систем и компонентов, входящих в анализируемыую область
Специалисты в области информационной безопасности
Специалисты проектного офиса, организовывающие мероприятия по анализу и оценке рисков, коммуникации между участниками команды, а также сбор и систематизацию результатов совместной работы
Подготовка к анализу
Определение защищаемых активов
Идентификация угроз
Оценка вероятности и воздействий
Вероятность
Высокая
Средняя
Низкая
Воздействие
Высокий
Средний
Низкий
CRAMM
В основе комплексный подход к оценке рисков, сочетающие количественные и качественные методы анализа
3 стадии исследования ИБ
Анализ всего, что касается идентификации и определения ценности ресурсов системы
Проведение идентификации ресурсов, содержащихся внутри границ системы
Постоение модели информационной системы с позиции ИБ