Информационная безопасность


Методики и технологии управления информационными рисками - часть 9


6 — серьезные последствия (длительная госпитализация, инвалидность одного или нескольких сотрудников);

10 — гибель людей.

Финансовые потери, связанныес восстановлением ресурсов:

2 — менее $1000;

6 — от $1000 до $10 000;

8 — от $10 000 до $100 000;

10 — свыше $100 000.

Дезорганизация деятельностив связи с недоступностью данных:

2 — отсутствие доступа к информации до 15 минут;

4 — отсутствие доступа к информации до 1 часа;

6 — отсутствие доступа к информации до 3 часов;

8 — отсутствие доступа к информации от 12 часов;

10 — отсутствие доступа к информации более суток.

Далее рассматриваются основные сценарии, приводящие к различным негативным последствиям, описываемым в терминах выбранных параметров ().

На этом этапе может быть подготовлено несколько типов отчетов (границы системы, модель, определение ценности ресурсов). Если ценности ресурсов низкие, можно использовать базовый вариант защиты. В таком случае исследователь может перейти от этой стадии сразу к стадии анализа рисков. Однако для адекватного учета потенциального воздействия какой­либо угрозы, уязвимости или комбинации угроз и уязвимостей, которые имеют высокие уровни, следует использовать сокращенную версию стадии оценки угроз и уязвимостей. Это позволяет разработать более эффективную систему защиты информации компании.

На этапе оценивания угроз и уявимостей оцениваются зависимости пользовательских сервисов от определенных групп ресурсов и существующий уровень угроз и уязвимостей.

Далее активы компании группируются с точки зрения угроз и уязвимостей.Например, в случае наличия угрозы пожара или кражи, в качестве группы ресурсов разумно рассмотреть все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т. д.).

При этом оценка уровней угроз и уязвимостей может проводиться на основе косвенных факторов или на основе прямых оценок экспертов. В первом случае программное обеспечение CRAMM для каждой группы ресурсов и каждого из них генерирует список вопросов, допускающих однозначный ответ ().




Начало  Назад  Вперед