Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.

Распределение организаций по их подходам к вопросам информационной безопасности иллюстрируют диаграммы, относящиеся к развитым зарубежным странам (заимствованы из обзора компании Эрнст энд Янг).

Рисунок 2. Контролируют ли в Вашей организации инциденты в области информационной безопасности?

Рисунок 3. Используете ли Вы формальные критерии для оценки системы информационной безопасности?

В Таб. 1 показано, какие критерии используются организациями для оценки системы информационной безопасности (если они используются).

Таблица 1. Критерии оценки защищенности

Корпоративные стандарты (собственная разработка)
Замечания аудиторов
Стандарты лучшей мировой практики (например, BS7799/ISO17799)
Число инцидентов в области безопасности
Финансовые потери в результате инцидентов
Расходы на ИБ
Эффективность в достижении поставленных целей

 

Таким образом, более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков в любой постановке.

Организации третьего уровня зрелости (около 40% общего числа), использующие (или планирующие использовать) какие-либо подходы к оценке системы информационной безопасности, применяют стандартные рекомендации и руководства класса "good practice", относящиеся к базовому уровню информационной безопасности. Эти организации используют или планируют использовать систему управления рисками базового уровня (или ее элементы) на всех стадиях жизненного цикла информационной технологии.

Организации, относящиеся к четвертому и пятому уровням зрелости, составляющие в настоящее время не более 7% от общего числа, используют разнообразные "углубленные" методики анализа рисков, обладающие дополнительными возможностями по сравнению с методиками базового уровня. Такого рода дополнения, обеспечивающие возможность количественного анализа и оптимизации подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.

В Украине доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно наиболее востребованными в настоящее время являются простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня.

Потребителями количественных методик анализа рисков в России являются в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные ресурсы в разработку собственных (приемлемых для них) количественных методик.








Дата добавления: 2015-12-29; просмотров: 861;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.003 сек.