Оценка и анализ рисков безопасности

Оценка и анализ рисков безопасности

Рассмотрим следующий вид сбора и оценки информации при проведении аудита безопасности сайта, а именно – оценку и анализ рисков безопасности.

Что сделать, чтобы создать постоянно работающий анализ рисков ресурса? По каким признакам определить, что мероприятия по устранению уязвимостей ресурса эффективны и действенны? Как при оценке рисков отделеить актуальные от лишних и нехарактерных? По какому критерию оценить достоверность исходной информации для анализа?

Правильные ответы на эти вопросы позволяют не только разово провести оценку и анализ рисков безопасности в компании. Они обеспечивают запуск эффективного и постоянного процесса анализа рисков.

Сами по себе оценка и анализ рисков безопасности – это сопоставление каждой потенциальной угрозе ее вероятности возникновения, оценка, ущерб и по полученным значениям оценка ее уровня.

Процесс реализации оценки и анализа рисков безопасности представлен тремя основными блоками:

1. Расчет рисков;

2. Разработка и внедрение процедуры анализа рисков в подразделениях компании;

3. Подготовка отчетности по процессу анализа рисков.

На сегодняшний день, существует много программ, позволяющих облегчить труд специалиста по анализу рисков, по разным направлениям обозначенным выше или группам направления.

анализ рисков безопасности

Оценка и анализ рисков повзоляет:

  • •Четко определить и выявить на этапе описания специфические риски, свойственные анализируемому ресурсу. Поскольку процессы описываются в автоматическом средстве (программе), то результаты могут быть представлены как в виде описания процесса, так и в виде блок-схемы;
  • • Оценить критичность риска для ресурса, и в случае чрезмерной опасности определить меры, которые необходимо принять для её уменьшения;
  • • Разработать и использовать автоматизированные программное обеспечение для разработки задач по увеличению информационной безопасности ресурса. Кроме того, использовать это программное обеспечение возможно не только для всего предприятия, но и для отдельных его подразделений, с разделением целей и задач.
  • • Наглядно предоставлять руководству сведения по состоянию информационной безопасности ресурса или компании. разрабатывать статистику по каждому виду уязвимостей и контролировать выполнение мероприятий по устранению данной уязвимости;
  • • Использовать один вид программного обеспечения для управления всеми видами уязвимостей выявленных в ходе анализа и оценки рисков;
  • • Создать базу данных, как одно обобщённое хранилище для всей информации по планированию и проведению мериоприятий по снижению опасности для ресурса или компании;
  • • Соответствие информационной безопасности ресурса или компании требованиям самых строгих аудитов в части информационной безопасности.

Теги: