выбор
защитных мер;
(7) реализация
и проверка выбранных мер;
(8) оценка
остаточного риска.
Этапы (6) и (7) относятся к
выбору защитных средств (нейтрализации рисков), остальные - к оценке рисков.
Уже
перечисление этапов показывает, что управление рисками - процесс циклический.
По существу, последний этап - это оператор конца цикла, предписывающий
вернуться к началу. Риски нужно контролировать постоянно, периодически проводя
их переоценку. Отметим, что добросовестно выполненная и тщательно
документированная первая оценка может существенно упростить последующую
деятельность.
Управление
рисками, как и любую другую деятельность в области информационной безопасности,
необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается
наибольшим, а затраты - минимальными. Ранее мы определили пять этапов жизненного
цикла. Кратко опишем, что может дать управление рисками на каждом из них.
На этапе инициации
известные риски следует учесть при выработке требований к системе вообще и
средствам безопасности в частности. На этапе закупки (разработки)
выявленные риски способны помочь при выборе архитектурных решений, играющих
ключевую роль в обеспечении безопасности. На этапе установки выявленные
риски следует учитывать при конфигурировании, тестировании и проверке ранее
сформулированных
требований, а полный цикл управления рисками должен предшествовать
внедрению системы в эксплуатацию. На этапе эксплуатации управление
рисками должно сопровождать все существенные изменение в системе. При выведении
системы из эксплуатации управление рисками помогает убедиться в том, что
миграция данных происходит безопасным образом.
Подготовительные этапы
управления рисками
В этом разделе
будут описаны первые три этапа процесса управления рисками.
Выбор
анализируемых объектов и уровня детализации их рассмотрения - первый
шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю
информационную инфраструктуру; однако, если организации крупная, всеобъемлющая
оценка может потребовать неприемлемых затрат времени и сил. В таком случае
следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с
приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются
те
из них, риски для которых заведомо велики или неизвестны.
Мы уже
указывали на целесообразность создания карты информационной системы
организации. Для управления рисками подобная карта особенно важна, поскольку
она наглядно показывает, какие сервисы выбраны для анализа, а какими было
решено пренебречь. Если ИС меняется, а карта поддерживается в актуальном
состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно
изменившиеся сервисы нуждаются в рассмотрении.
Вообще говоря,
уязвимым является каждый компонент информационной системы - от куска сетевого
кабеля, который могут прогрызть мыши, до базы данных, которая
Главная / безопасность пк / методы защиты информации 