ISMS

© Христо Тужаров,  

април 2009

 

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

ПРИМЕР  ЗА ОЦЕНКА НА РИСКА

Риск = (Заплаха * Видимост) + (Уязвимост * Последствия)

 

Управление на заплахите

 

Заплаха - всяко събитие, което потенциално може да нанесе вреда на организацията, чрез разкриване, модификация, разрушаване на данните или отказ в обслужване критическите компоненти на системата.

 

Заплахата става риск само когато:

  • Е налице уязвимо място в системата, което тя може да атакува.

  • Система е видима от външния свят.

Видимост на системата - мярка за интереса на външни обекти към конкретна система.

 

Ниво на видимост - определя вероятността за атака от враждебни обекти с помощта на една или друга заплаха.

  • Може да се променя по определен закон или в зависимост от някакво събитие.

  • Всички организации, имащи достъп до Интернет в определена степен са видими за външния свят, най-малко чрез адреса си в DNS.

  • Някои организации са по-видими от други.

Управление на уязвимостта

 

Уязвимост Последствия Инвестиции

 

Финансови последствия

Нарушаване на вътрешната организация на работа - води до:

  • Изпуснати възможности;

  • Загуба на работно време;

  • Възстановителни работи и т.н.

Засегнати външни функции на организацията - доставка на продукция, приемане на поръчки и т.н. Пряко водят до финансови загуби поради:

  • Нарушаване работата на службите;

  • Загуба доверието на клиентите и т.н.

 

Профил на риска

 

Заплаха

Стойност

Липсват реални заплахи

1

Трудно е да се оцени възможността за възникване на заплахи

3

Заплахите са реални. Налице са случаи на реализация.им.

5

Видимост

 

Много малка

1

Средна - периодични публикации за организацията

3

Голяма - постоянни публикации за организацията

5

Уязвимост

 

Ниска  - липсват сведения за узвимост на системата

1

Средна – допускат се възможности за уязвими места (персонал и програмно осигуряване)

3

Голяма – налице са доказателства за уязвими места

5

Последствия

 

Липса на финансови загуби. Предприети са мерки за пренос на риска.

1

Нарушаване на вътрешни функции на организацията;

Наличие на финасови загуби.

3

Нарушаване на външни функции. Големи финансови загуби.

5

 

             Резултат

  • 2 - 10: нисък риск

  • 11 - 29: среден риск

  • 30 - 50: висок риск