Современные концепции управления рисками
Наличие системы управления рисками (Risk Management) является обязательным компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла. Организации, начиная с третьего уровня зрелости, применяют какой-либо вариант системы управления рисками. Многие зарубежные национальные институты стандартов. Рассмотрим концепции, опубликованные национальным институтом стандартов США (NIST) и организацией MITRE.
Управление рисками
В соответствии со стандартом NIST 800-30
Система управления (информационными) рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий и обеспечить возможность выполнения основных бизнес-целей предприятия.
Система управления рисками должна быть интегрирована в систему управления жизненным циклом информационной технологии (Таб. 2).
Таблица 2. Управление рисками на различных стадиях жизненного цикла информационной технологии
Фаза жизненного цикла информационной технологии | Соответствие фазе управления рисками |
1. Предпроектная стадия ИС (концепция данной ИС: определение целей и задач и их документирование) | Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ |
2. Проектирование ИС | Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС) |
3. Создание ИС: поставка элементов, монтаж, настройка и конфигурирование | До начала функционирования ИС должны быть идентифицированы и приняты во внимания все классы рисков |
4. Функционирование ИС | Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС |
Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются) | Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам |
Технология управления рисками должна включать следующие основные стадии (Рис. 4).
Рисунок 4. Концепция управления рисками NIST 800-30
Дата добавления: 2015-12-29; просмотров: 1119;