Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли Методы оценки информационных рисков С какими задачами сталкиваются организации при построении процесса управления рисками? Естественно, в первую очередь с формализацией самого процесса, который может быть закреплен «на верхнем уровне» политикой управления ИТ-рисками. Политика – очень важный документ, причем не только для ИТ-департамента, который отражает подход самой организации к управлению рисками. Его основными ключевыми моментами являются определение объектов процесса, основных составляющих процесса, распределение ответственности между подразделениями организации (например, в банке это может быть департамент управления рисками), определение базового уровня приемлемого риска и т. д. Следующая задача, стоящая перед организацией, – построение модели угроз. В этом процессе могут участвовать не только ИТ-департамент, но и департамент безопасности, подразделение управления качеством, проектный департамент и т. д. Модель угроз – ключевой элемент в построении процесса, потому рассмотрим ее более подробно. Исходя из определения, угрозу можно декомпозировать на три основные части – источник, действие/деяние, объект воздействия. Часто необходимо доказать, что создаваемая модель полная, т. е. описывает все возможные угрозы. Самый простой путь – разделить каждый компонент на классы. Например, источники поделить на природные, техногенные и антропогенные, деяния – на случайные и неслучайные, объекты воздействия – на типы ИТ-ресурсов: ПО, оборудование, персонал, процессы и информация. Для наглядности можно воспользоваться графами. Любая новая угроза может быть декомпозирована вышеописанным способом, и ее элементы попадут в тот или иной класс. В соответствии с определением ИТ-услуги, с точки зрения автора, все информационно-технологические риски можно разделить на три большие группы: инфраструктурные риски/риски информационной безопасности (ИБ) – самая большая группа, риски качества ИТ-услуг/риски систем управления и проектные риски. Риски необходимо учитывать на всех этапах жизненного цикла ИТ-системы. Главная страница / Архитектура отрасли |