Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вы здесь: Главная / Услуги / Аудит и оценка рисков ИБ / Оценка и обработка рисков ИБ

Оценка и обработка рисков информационной безопасности

Процессы оценки и управления рисками служат фундаментом для построения системы управления информационной безопасностью организации. Эффективность этих процессов определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Оценка рисковGlobalTrust поможет Вам не только правильно оценить риски информационной безопасности, но также разработать и внедрить процедуру оценки рисков, соответствующую потребностям Вашей организации, которую Вы будете в дальнейшем применять самостоятельно и на постоянной основе. Мы также поможем Вам построить полноценную систему управления рисками информационной безопасности, которая позволит руководству организации принимать своевременные и экономически обоснованные управленческие решения.

При выполнении работ по оценке информационных рисков и внедрению процессов управления рисками в организации специалисты GlobalTrust руководствуются положениями британского стандарта BS 7799 Часть 3 – "Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности", определяющего процессы оценки и управления рисками как составной элемент системы управления организациии, спользуют широко распространенную во всем мире методологию OCTAVE, разработанную в университете Карнеги-Мелон (США), а также программный инструментарий «RA2 the art of risk», от разработчиков стандартов ISO/IEC 17799/27001.

Оценка рисков включает в себя мероприятия по определению того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого организации, в случае осуществления угрозы безопасности. Оценка рисков состоит в том, чтобы выявить существующие риски и оценить их величину. Процедура оценки рисков включает в себя ряд последовательных этапов:

  • Настойка методологии оценки под конкретную организацию
  • Выбор шкалы оценки рисков
  • Оценка стоимости ресурсов, вероятности угроз и величины уязвимостей
  • Определение допустимого уровня остаточных рисков
  • Оценивание рисков
  • Подготовка отчета по результатам оценки рисков
  • Разработка реестра информационных рисков
  • Принятие решений по обработке рисков
  • Разработка Плана обработки рисков
  • Разработка Декларации о применимости
  • Согласование и презентация отчетных документов

Для предварительного заказа услуг по оценке рисков, уточнения задачи и получения дополнительных сведений Вы можете заполнить Заявку на оценку рисков. Наш менеджер обязательно свяжется с Вами и предоставит подробную информацию об услуге.

Методология оценки рисков

При выполнении работ по оценке информационных рисков и внедрению процессов управления рисками в организации специалисты GlobalTrust используют широко распространенную во всем мире методологию OCTAVE, разработанную в университете Карнеги-Мелон (США), а также программный инструментарий «RA2 the art of risk», от разработчиков стандартов ISO/IEC 17799/27001.

OCTAVE – Оценка критичных угроз, активов и уязвимостей (Operationally Critical Threat, Asset, and Vulnerability Evaluation) имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности. Сущность этого метода заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима ИБ.

На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

На третьем этапе производится оценка и обработка рисков ИБ, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

Для получения более подробной информации обращайтесь к нам: