Оценка и анализ рисков безопасности

Рассмотрим следующий вид сбора и оценки информации при проведении аудита безопасности сайта, а именно – оценку и анализ рисков безопасности.
Что сделать, чтобы создать постоянно работающий анализ рисков ресурса? По каким признакам определить, что мероприятия по устранению уязвимостей ресурса эффективны и действенны? Как при оценке рисков отделеить актуальные от лишних и нехарактерных? По какому критерию оценить достоверность исходной информации для анализа?
Правильные ответы на эти вопросы позволяют не только разово провести оценку и анализ рисков безопасности в компании. Они обеспечивают запуск эффективного и постоянного процесса анализа рисков.
Сами по себе оценка и анализ рисков безопасности – это сопоставление каждой потенциальной угрозе ее вероятности возникновения, оценка, ущерб и по полученным значениям оценка ее уровня.
Процесс реализации оценки и анализа рисков безопасности представлен тремя основными блоками:
1. Расчет рисков;
2. Разработка и внедрение процедуры анализа рисков в подразделениях компании;
3. Подготовка отчетности по процессу анализа рисков.
На сегодняшний день, существует много программ, позволяющих облегчить труд специалиста по анализу рисков, по разным направлениям обозначенным выше или группам направления.
Оценка и анализ рисков повзоляет:
- •Четко определить и выявить на этапе описания специфические риски, свойственные анализируемому ресурсу. Поскольку процессы описываются в автоматическом средстве (программе), то результаты могут быть представлены как в виде описания процесса, так и в виде блок-схемы;
- • Оценить критичность риска для ресурса, и в случае чрезмерной опасности определить меры, которые необходимо принять для её уменьшения;
- • Разработать и использовать автоматизированные программное обеспечение для разработки задач по увеличению информационной безопасности ресурса. Кроме того, использовать это программное обеспечение возможно не только для всего предприятия, но и для отдельных его подразделений, с разделением целей и задач.
- • Наглядно предоставлять руководству сведения по состоянию информационной безопасности ресурса или компании. разрабатывать статистику по каждому виду уязвимостей и контролировать выполнение мероприятий по устранению данной уязвимости;
- • Использовать один вид программного обеспечения для управления всеми видами уязвимостей выявленных в ходе анализа и оценки рисков;
- • Создать базу данных, как одно обобщённое хранилище для всей информации по планированию и проведению мериоприятий по снижению опасности для ресурса или компании;
- • Соответствие информационной безопасности ресурса или компании требованиям самых строгих аудитов в части информационной безопасности.
Теги:
Добавить комментарий