ISMS

© Христо Тужаров,  

април 2009

 

МЕТОДОЛОГИЧНА БАЗА

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

 

Методологична база за управление  на риска

Съществуват голям брой методологии за управление на риска. Тяхното прилагане зависи от спецификата на организацията и очакваните резултати.

 

 

 

 

Изисквания към методологията за управление  на риска:

  • Да осигурява полезни при осигуряване на сигурността резултати;

  • Да не е много сложна за използване;

  • Да не изисква много точни данни;

  • Да осигурява  приемлива точност при определяне на значенията на такива променливи като загуби, вероятности и стойности;

  • Да се базира на стандартите за информационна сигурност.

  • Да използва процесния подход при осъществяване управление на риска.

Количествен метод за анализ на риска

Създаден е в качеството на рекомендация FIPS 65 през 1979 г. от NIST. Основно е предназначен за анализ на риска в големи центрове за обработка на риска.

  • Описва получаването на оценката на риска за всеки файл. Оценява:

  • Честотата на възникване на заплахи;

  • Последствията в долари, които могат да възникнат в резултат на всяка заплаха;

Използване на шаблони при анализ на риска

Състои се в разработване на базови средства и мерки за защита, предназначени за предварително определени стандартни нива на риска.

Стандартните нива на риска могат да бъдат базирани на:

  • Ценността на ресурсите като такива;

  • Последствията, които могат да настъпят след успешна атака;

  • Други фактори.

Този подход позволява за определени ценности, да се следват препоръките за съответното ниво на риск и на тази основа да се внедряват адекватни мерки за сигурност.

 

Предимства

  • Реализиране на проверена на практика защита за конкретните ценности;

  • Лесно разбираеми от потребителя методология за анализ на риска и политика на сигурност, базирани на набор от средства и мерки за защита;

  • Осъществяване на действена защита на ценностите при ниска степен на квалификация на изпълнителите.