Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Методы оценки информационных рисков

С какими задачами сталкиваются организации при построении процесса управления рисками? Естественно, в первую очередь с формализацией самого процесса, который может быть закреплен «на верхнем уровне» политикой управления ИТ-рисками. Политика – очень важный документ, причем не только для ИТ-департамента, который отражает подход самой организации к управлению рисками. Его основными ключевыми моментами являются определение объектов процесса, основных составляющих процесса, распределение ответственности между подразделениями организации (например, в банке это может быть департамент управления рисками), определение базового уровня приемлемого риска и т. д.

Следующая задача, стоящая перед организацией, – построение модели угроз. В этом процессе могут участвовать не только ИТ-департамент, но и департамент безопасности, подразделение управления качеством, проектный департамент и т. д.

Модель угроз – ключевой элемент в построении процесса, потому рассмотрим ее более подробно. Исходя из определения, угрозу можно декомпозировать на три основные части – источник, действие/деяние, объект воздействия. Часто необходимо доказать, что создаваемая модель полная, т. е. описывает все возможные угрозы. Самый простой путь – разделить каждый компонент на классы. Например, источники поделить на природные, техногенные и антропогенные, деяния – на случайные и неслучайные, объекты воздействия – на типы ИТ-ресурсов: ПО, оборудование, персонал, процессы и информация. Для наглядности можно воспользоваться графами. Любая новая угроза может быть декомпозирована вышеописанным способом, и ее элементы попадут в тот или иной класс.

В соответствии с определением ИТ-услуги, с точки зрения автора, все информационно-технологические риски можно разделить на три большие группы: инфраструктурные риски/риски информационной безопасности (ИБ) – самая большая группа, риски качества ИТ-услуг/риски систем управления и проектные риски. Риски необходимо учитывать на всех этапах жизненного цикла ИТ-системы.

Главная страница / Архитектура отрасли