Информационная безопасность


Методики и технологии управления информационными рисками - часть 8


• нарушение действующего законодательства;

• ущерб для здоровья персонала;

• ущерб, связанный с разглашением персональных данных отдельных лиц;

• финансовые потери от разглашения информации;

• финансовые потери, связанные с восстановлением ресурсов;

• потери, связанные с невозможностью выполнения обязательств;

• дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода (профиль Standard). В других версиях совокупность будет иной, например, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Для данных и программного обеспечения выбираются применимые к данной ИС критерии, дается оценка ущерба по шкале со значениями от 1 до 10.

К примеру, если данные содержат подробности коммерческой конфиденциальной (критичной) информации, эксперт, проводящий исследование, задает вопрос: как может повлиять на организацию несанкционированный доступ посторонних лиц к этой информации?

Возможен такой ответ: провал сразу по нескольким параметрам из перечисленных выше, причем каждый аспект следовало бы рассмотреть подробнее и присвоить самую высокую из возможных оценок.

Затем разрабатываются шкалы для выбранной системы параметров. Они могут выглядеть следующим образом.

Ущерб репутации организации:

2 — негативная реакция отдельных чиновников, общественных деятелей;

4 — критика в средствах массовой информации, не имеющая широкого общественного резонанса;

6 — негативная реакция отдельных депутатов Думы, Совета Федерации;

8 — критика в средствах массовой информации, имеющая последствия в виде крупных скандалов, парламентских слушаний, широкомасштабных проверок и т. п.;

10 — негативная реакция на уровне Президента и Правительства.

Ущерб для здоровья персонала:

2 — минимальный ущерб (последствия не связаны с госпитализаций или длительным лечением);

4 — ущерб среднего размера (необходимо лечение для одного или нескольких сотрудников, но длительных отрицательных последствий нет);



Начало  Назад  Вперед