Управление риском информационных систем

.

Управление безопасностью информационных систем почти всегда включает анализ рисков в той или иной форме. Анализ рисков может охватывать всю информационную систему или ограничиваться безопасностью компьютерных программ, а может быть менее формальным. Программы безопасности обычно определяют порядок анализа рисков, спецификации мер безопасности, управление мерами безопасности и планы восстановления после сбоев.

Анализ степени риска
Анализ степени риска требует детального рассмотрения всех ресурсов информационной системы и всех потенциальных отказов информационной системы. Каждый отказ оценивается с точки зрения возможных последствий для каждого компонента информационной системы. Затем эти последствия представляются в виде годовых оценок вероятности сбоя и стоимости возможных повреждений. Например, в самом простом варианте, пожар в 50 тыс. фунтов стерлингов с оценкой риска возникновения «раз в пять лет» представляет в пересчете на год риск в 10 тыс. фунтов стерлингов. Более изощренные методы анализа степени риска работают с кривыми риска, байесовской статистикой и качественными показателями риска, а не с денежными единицами.

upravleniye_riskom_info_system
Спецификация мер безопасности
Спецификация мер безопасности — это процесс проектирования, который оценивает влияние мер безопасности на риски сбоев, предложенные в анализе степени риска. Разработчики часто используют базу данных или контрольный список мер безопасности, чтобы включить в рассмотрение все возможные меры. Выбираются те меры безопасности, которые, по оценке, должны снизить риск сбоев до приемлемого уровня, и специфицируются в дополнение к информационной системе.
Поддержание мер безопасности
Поддержание мер безопасности — это рабочий процесс проверки работоспособности мер безопасности. Со временем эффективность мер безопасности может снизиться из-за устаревания компонентов, неправильного поведения пользователей, модификации системы или появления новых рисков сбоев. Частично этот процесс иногда включается в функции проверки ЭОД.
Чрезвычайный план
Чрезвычайный план или план восстановления после сбоев детализирует программу действий организации в случае катастрофической потери офисов, телекоммуникаций или информационных систем. Сегодня многие организации настолько зависят от информационных технологий, что даже несколько часов отказа могут угрожать предприятию в целом. Чрезвычайный план включает варианты альтернативного размещения, источники коммуникаций и компьютерного оборудования, внешнее хранение резервных копий данных, наем временных служащих и пр. Такие планы иногда предусматривают и предварительные контракты с фирмами, предоставляющими услуги по восстановлению после сбоев.

Комментирование и размещение ссылок запрещено.