21 сентября, пятница 13:11
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Правильный план классификации активов и управления рисками.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Правильный план классификации активов и управления рисками.

    Коротко и ясно.
    План:
    1. Инвентаризация/классификация активов.
    1)Ц,К,Д;
    2)Класс информации(Открытая инф. банк. тайна, комм. тайна и т.д.)
    3)Приоритет(На какой параметр(Д,К,Ц) воздействие нарушителя могут быть выгодны?)
    2. Инвентаризация/классификация процессов
    3. Инвентаризация/классификация субъектов
    4. Инвентаризация/классификация инф. объектов(средства обработки информации)
    5. Составление модели нарушителей
    6. Составление модели угроз
    7. Управление рисками
    1)Идентификация риска - самый удачный справочник BSI
    2)Оценка вероятностей возникновения риска - Субъективный или Объективный подход
    3)Измерение рисков
    (Субъективный или Объективный подход)
    Риск = Р_происшествия * Цена_потери
    Р_происшествия = Р_угрозы * Р_уязвимости
    4) Выбор допустимого уровня риска
    5) Выбор контрмер и оценка их эффективности

    Торопился, может что упустил, прошу высказываться.
    Создадим идеальный план для новичков.
    Область действия: Инвентаризация/классификация инф. активов и управление рисками.

  • #2
    Сообщение от barmalei Посмотреть сообщение
    Коротко и ясно.
    2. Инвентаризация/классификация процессов
    7. Управление рисками
    3)Измерение рисков
    (Субъективный или Объективный подход)
    Риск = Р_происшествия * Цена_потери
    Р_происшествия = Р_угрозы * Р_уязвимости
    Создадим идеальный план для новичков.
    А потом замучаемся объяснять новичкам, как посчитать вероятность угрозы и уязвимости, а также как идентифицировать все процессы ;-)

    Комментарий


    • #3
      Тут каждый пункт на книгу может потянуть
      Меня больше правильная последовательность действий волнует.
      Хотел еще вкратце описание сделать, для каждого пункта, пока не успел.
      Предлагаю каждый пункт более подробно расписать, присоединяйтесь коллеги.

      Комментарий


      • #4
        Кстати, а пункты 5. и 6. разьве не надо местами поменять?

        про п.1.1 - никто сходу не вспомнит, в каких стандартах сказано, что классификация информационных ресурсов происходит, не только по степени конфиденциальности, но и по критичности к целостности и доступности?

        Комментарий


        • #5
          Сообщение от Hitch Посмотреть сообщение
          Кстати, а пункты 5. и 6. разьве не надо местами поменять?
          В видимых мной рекомендациях первые 6 пунктов вообще стояли параллельно, что логично.

          Комментарий


          • #6
            про п.1.1 - никто сходу не вспомнит, в каких стандартах сказано, что классификация информационных ресурсов происходит, не только по степени конфиденциальности, но и по критичности к целостности и доступности?

            Нашел это в разделе 6 стандарта ISO-17799, ткнул пальцем, но наши так и не хотят проводить классификацию информационных активов по целостности и доступности, ссылаясь на достаточность категорирования по конфиденциальности...

            Комментарий


            • #7
              Сообщение от Hitch Посмотреть сообщение
              Нашел это в разделе 6 стандарта ISO-17799, ткнул пальцем, но наши так и не хотят проводить классификацию информационных активов по целостности и доступности, ссылаясь на достаточность категорирования по конфиденциальности...
              Это стандартная ошибка. Попробуйти сделать примерный рассчет во сколько банку обойдется суточный простой контроллера домена или ядра ЛВС. У них обычно низкая категория конфиденциальности и очень высокие требования по доступности.

              З.Ы. Бывает чпстные случаи, что требования по целостности/доступности растут вместе с уровнем конфиденциальности. Тогда действительно, нет смысла бить по разным критериям.

              Комментарий


              • #8
                Сообщение от Hitch Посмотреть сообщение
                Нашел это в разделе 6 стандарта ISO-17799, ткнул пальцем, но наши так и не хотят проводить классификацию информационных активов по целостности и доступности, ссылаясь на достаточность категорирования по конфиденциальности...
                Ссылка не стандарт не показательна. Мало ли кто на что ссылается. Лучше ссылаться на данные опроса руководителей подразделений (реальные потери при недоступных ресурсах) и исторические примеры (что было когда ресурсы не доступны). Все это можно использовать для расчета потерь от простоя всей сети.

                Вопросы целостности легче объяснить через необходимость резервного копирования с приведением примеров, когда результаты работы безвозвратно пропадали.

                Комментарий


                • #9
                  Ну и на мой взгляд потерян последний шаг - принятие остаточных рисков.
                  Я словно лист на ветру, посмотри как я лечу...

                  Комментарий


                  • #10
                    А как будут выбираться контрмеры исходя из выбранного допустимого уровня риска?

                    Комментарий


                    • #11
                      По классике все просто. Подразумевается, что у вас уже есть утвержденная стратегия управления рисками предприятия. И руководство решило, какие риски снижаем, какие принимаем, какие перекладываем на чужие плечи. Выписываем все возможные контрмеры для каждого риска:
                      - страхование
                      - обучение персонала
                      - организационные мероприятия
                      - применение технических мер
                      и т.д.

                      Есть стоимость защищаемого актива. Определяем во сколько обойдется реализация отдельныхконтрмер и смотрим, какие из них дешевле управляемого риска. Если контрмера осталась одна, то ее и реализуем. А если много, то выбираем другие критерии оценки (помимо цены) и дальше начинается классика системного анализа. В итоге опять же получаем подходящую контрмеру.

                      Но тут есть тонкий момент. Надо учитывать, что одна и та же контрмера может защищать от нескольких рисков. И если для одного риска она оказывается дорогой, то для двух-трех-пяти рисков цена уже может быть нормальной.

                      Комментарий


                      • #12
                        Вот моя старая статья про выбор - http://www.pcweek.ru/themes/detail.p...THEME_ID=13879

                        Комментарий

                        Пользователи, просматривающие эту тему

                        Свернуть

                        Присутствует 1. Участников: 0, гостей: 1.

                        Обработка...
                        X