Выбрать архитектуру подсистемы информационной безопасности с минимальной стоимостью владения на протяжении жизненного цикла при определенном уровне остаточных рисков.
Распределение организаций по их подходам к вопросам информационной безопасности иллюстрируют диаграммы, относящиеся к развитым зарубежным странам (заимствованы из обзора компании Эрнст энд Янг).
Рисунок 2. Контролируют ли в Вашей организации инциденты в области информационной безопасности?
Рисунок 3. Используете ли Вы формальные критерии для оценки системы информационной безопасности?
В Таб. 1 показано, какие критерии используются организациями для оценки системы информационной безопасности (если они используются).
Таблица 1. Критерии оценки защищенности
| Корпоративные стандарты (собственная разработка) | |
| Замечания аудиторов | |
| Стандарты лучшей мировой практики (например, BS7799/ISO17799) | |
| Число инцидентов в области безопасности | |
| Финансовые потери в результате инцидентов | |
| Расходы на ИБ | |
| Эффективность в достижении поставленных целей |
Таким образом, более половины организаций относятся к первому или второму уровню зрелости и не заинтересованы в проведении анализа рисков в любой постановке.
Организации третьего уровня зрелости (около 40% общего числа), использующие (или планирующие использовать) какие-либо подходы к оценке системы информационной безопасности, применяют стандартные рекомендации и руководства класса "good practice", относящиеся к базовому уровню информационной безопасности. Эти организации используют или планируют использовать систему управления рисками базового уровня (или ее элементы) на всех стадиях жизненного цикла информационной технологии.
Организации, относящиеся к четвертому и пятому уровням зрелости, составляющие в настоящее время не более 7% от общего числа, используют разнообразные "углубленные" методики анализа рисков, обладающие дополнительными возможностями по сравнению с методиками базового уровня. Такого рода дополнения, обеспечивающие возможность количественного анализа и оптимизации подсистемы информационной безопасности в различной постановке, в официальных руководствах не регламентируются.
В Украине доля организаций, относящихся к третьему, четвертому и пятому уровням зрелости, еще меньше. Соответственно наиболее востребованными в настоящее время являются простейшие методики анализа рисков, являющиеся частью методик управления рисками базового уровня.
Потребителями количественных методик анализа рисков в России являются в основном компании финансового профиля, для которых информационные ресурсы представляют большую ценность. Их немного, но они готовы вкладывать существенные ресурсы в разработку собственных (приемлемых для них) количественных методик.
Дата добавления: 2015-12-29; просмотров: 864;