Гарантии анализа риска

Анализ риска - хорошо известный инструмент планирования, широко используемый в практике управления. Тем не менее, иногда выдвигаются аргументы против его использования. Рассмотрим основные из них.

  • 1. НЕТОЧНОСТЬ. Многие значения, получаемые в процессе анализа (вероятность появления событий, стоимость ущерба) не отличаются высокой точностью. Однако существуют различные методы для получения приемлемых приближений этих значений.
  • 2. БЫСТРАЯ ИЗМЕНЯЕМОСТЬ Анализ риска актуален лишь в течение определенного промежутка времени. Потом может измениться состав системы, внешние условия и т.д. и придется проводить новый анализ. В идеале анализ риска для собственной АСОИ рекомендуется проводить ежегодно.
  • 3. ОТСУТСТВИЕ НАУЧНОЙ БАЗЫ. Почти все методики проведения анализа риска основывается на положениях теории вероятностей и математической статистики, в чем вы убедитесь, если решите провести такой анализ сами.

Составление плана защиты

После того как были определены угрозы безопасности АСОИ, от которых будет производиться защита и выбраны меры защиты, требуется составить ряд документов, отражающих решение администрации АСОИ по созданию системы защиты. Это решение конкретизируется в нескольких планах: плане защиты и плане обеспечения непрерывной работы и восстановления функционирования АСОИ.

План защиты (security plan) - это документ, который определяет реализацию системы защиты организации, он необходим в повседневной работе:

  • 1. Для определения общих правил обработки информации в АСОИ, целей построения и функционирования системы защиты и подготовки сотрудников.
  • 2. Для фиксирования на некоторый момент времени состава АСОИ, технологии обработки информации, средств защиты информации.
  • 3. Для определения должностных обязанностей сотрудников организации по защите информации и ответственности за их соблюдение.

План представляет собой организационный фундамент, на котором строится все здание системы защиты. Он нуждается в регулярном пересмотре и, если необходимо, изменении.

План защиты обычно содержит следующие группы сведений:

  • - политика безопасности;
  • - текущее состояние системы;
  • - рекомендации по реализации системы защиты;
  • - ответственность персонала;
  • - порядок ввода в действие средств защиты;
  • - порядок пересмотра плана и состава средств защиты.

Каким бы всеобъемлющим нс был план, все возможные угрозы и защиту от них он предусмотреть не в состоянии. К тому же многие ситуации он должен только описывать - их контроль может оказаться неэффективным (в силу дороговизны средств защиты или малой вероятности появления угроз). В любом случае владельцы и персонал системы должны быть готовы к различным непредвиденным ситуациям.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >