ISMS

© Христо Тужаров,  

април 2009

 

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

 

Методология за управление на риска

Управление на риска

 

       Оценка на риска

На база определените граници на защита и степен на детайлизация се подбира конкретна методология за анализ на риска, чрез която се измерва риска, зависещ от идентифицираните ценностите на системата и вероятността за реализиране на заплахи, използващи съществуващите уязвимости.

 

                      Извършват се следните дейности:

 • Определяне границите на защитата и необходимата степен на детайлизация;

 • Избор на подходяща  методология за анализ на риска – в зависимост от типа на системата се избира количествен или качествен подход и съответстващата им методология, която е желателно да бъде стандартизирана;

      Анализ на риска

Определя се вероятността за нанасяне вреда на ценностите, чрез реализиране на заплаха;

 

                      Извършват се следните дейности:

 • Идентификация на ценностите, заплахите и уязвимите места;

 • Оценка на вероятностите;

 • Измерване на риска.

      Минимизация на риска

Определя се остатъчния риск, на база възможностите на организацията да вбожи средства в осигуряване на сигурността.

                  Извършват се следните дейности:

 • Определяне областите с недопустимо голям риск;

 • Избор на най-ефективните средства за защита;

 • Определяне доколко е приемлив остатъчния риск.

Определяне обхвата  и детайлизацията

 

        Определяне на границите

Границите могат да включват цялата ИС или части от нея.

 

        Определяне степента на детайлизация

Степента на детайлизация зависи от ценността на съхраняваната информация и наличието на критични за функциониране на системата приложения.

Във всички случаи ще е необходимо детайлно описание на:

 • Процеса на предаване на данни,

 • Съединенията с външни мрежи

 • Редица критични приложения

                 Степента на детайлизация зависи от:

 • Изменения в конфигурации;

 • Появата на нови външни връзки;

 • Модернизация или обновяване на системните или приложни програми.

         Уточняване на използваната методология

Методологията за управление на риска се определя на този етап. Ако тя е била предварително определена е необходимо доуточняване в съответствие със зададените граници и детайлизация.

 

Идентификация и оценка на ценностите

 

 

Идентификация и оценка на ценностите

 

 

Всички компоненти на информационната система са ценни, но всеки е със собствена тежест. Отчетът на ценностите в системата е първата стъпка към определяне областите, на които е необходимо да се обърне особено внимание.

           

     Причини

 • Гарантиране защитата на всички информационни ценности;

 • Бързо възстановяване на информационната среда след инцидент със сигурността.

Информационни ценности:

 • Апаратната част на информационната среда;

 • Програмното осигуряване;

 • Електронните документи;

 • Базите данни;

 • Комуникационните канали.