април 2009 |
УПРАВЛЕНИЕ НА РИСКА
|
||||||||||||||
СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА МОДЕЛ ЗА УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005 МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА ПРИМЕР ЗА ОЦЕНКА НА РИСКА |
Управление на рискаИзползването на информационни системи е свързано с определена съвкупност от рискове. Когато възможната загуба е неприемливо голяма е необходимо да се приемат икономически оправдани мерки за защита.
Периодична оценка на риска е необходима за контрол ефективността на дейността в областта на информационната сигурност и за контрол промените във външната и вътрешната среда.
Същност на управление на рискаОт количествена гледна точка рискът се явява функция на вероятността от реализация на определена заплаха, използваща уязвими места на системата , както и големината на възможната загуба.
Управлението на риска се състои в това да се:
Следователно, управлението на риска включва основно два вида дейности, които се редуват циклично:
Елементи на управление на риска
Стратегии за управление на рискаПо отношение на оценения риск са възможни следните действия:
Жизнен цикъл на СУСИ (ISMS) и възможен рискУправлението на риска, както и всяка друга дейност е необходимо да интегрира в жизнения цикъл на СУСИ. Тогава ефектът се оказва най-голям, а разходите минимални.
На етап изследване на риска трябва да се разработят изискванията към СУСИ като цяло и към средствата за защита в частност.
На етап проектиране познаването на рисковете помага при избора на съответните архитектурни решения, които играят ключова роля в осигуряване на информацонна сигурност.
На етап внедряване риска следва да се отчита при конфигуриране, тестване и проверка на изискванията към системата, а пълния цикъл по управление на риска трябва да предшества внедряването на системата в експлоатация.
На етап експлоатация управлението на риска трябва да съпровожда всички съществени промени в системата.
|