ISMS

© Христо Тужаров,  

април 2009

 

УПРАВЛЕНИЕ НА РИСКА

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

ПРИМЕР  ЗА ОЦЕНКА НА РИСКА

Управление на риска

Използването на информационни системи е свързано с определена съвкупност от рискове. Когато възможната загуба  е неприемливо голяма е необходимо да се приемат икономически оправдани мерки за защита.

 

 

Управление на риска

Периодична оценка на риска е необходима за контрол ефективността на дейността в областта на информационната сигурност и за контрол промените във външната и вътрешната среда.

 

Същност на управление на риска

От количествена гледна точка рискът се явява функция на вероятността от реализация на определена заплаха, използваща уязвими места на системата , както и големината на възможната загуба.

 

 

Същност на управление на риска

 

Управлението на риска се състои в това да се:

  • Анализира и оцени размера на риска (измерен риск);

  • Внедрят ефективни и икономични механизми за намаляване на риска (минимизиран риск);

  • Постигне убеденост, че рисковете се намират в допустими рамки и остават такива (остатъчен риск)

Следователно, управлението на риска включва основно два вида дейности, които се редуват циклично:

  • Оценка (измерване на ) риска;

  • Избор на ефективни защитни средства за неутрализиране на рисковете

 

действия при управление на риска

 

Елементи на управление на риска

 

Елементи

Въпроси

Ценности Какви ресурси трябва да бъдат защитени?

Заплахи

От какво е необходимо да бъдат защитени ценностите?

 Каква е вероятността заплахата да бъде реализирана?

Въздействия

 

Какви ще бъдат непосредствените последици след реализация на заплахата (например, разкриване на информация, модификация или разрушаване на данни и т.н.)?

Последствия 

 

Какви ще бъдат дългосрочните последици след реализация на заплахата (например, загубване на репутация, загуби или фалин на бизнеса и т.н.)?

Мерки за защита

С какви ефективни мерки (служби за сигурност и механизми) трябва да бъдат защитени ценностите?

Остатъчен риск

Приемлив ли е съществуващия риск от реализацията на заплахата?

 

Стратегии за управление на риска

По отношение на оценения риск са възможни следните действия:

  • ликвидация на риска (например, за за сметка на отстраняване на причините);

  • намаляване на риска (например, за сметка на използване на допълнителни защитни средства);

  • приемане на риска (когато инвестициите са по-големи от възможните загуби);

  • преадресация на риска (например, чрез сключване на застрахователен договор).

 

Жизнен цикъл на СУСИ (ISMS) и възможен риск

Управлението на риска, както и всяка друга дейност е необходимо да интегрира в жизнения цикъл на СУСИ. Тогава ефектът се оказва най-голям, а разходите минимални.

 

 

 

На етап изследване на риска трябва да се разработят изискванията към СУСИ като цяло и към средствата за защита в частност.

 

На етап проектиране познаването на рисковете помага при избора на съответните архитектурни решения, които играят ключова роля в осигуряване на информацонна сигурност.

 

На етап внедряване риска следва да се отчита при конфигуриране, тестване  и проверка на изискванията към системата, а пълния цикъл по управление на риска трябва да предшества внедряването на системата в експлоатация.

 

На етап експлоатация управлението на риска трябва да съпровожда всички  съществени промени в системата.