|
на этапе сертификации информационной системы иа соответствие стандартам в качестве аудиторов будут выступать специалисты сертификационного центра, то в процессе дальнейшей эксплуатации это могут быть штатные специалисты компании, ответственные за безопасность. Па этапе утилизации может отсутствовать элемент финансирования, если та или иная система продается по остаточной стоимости. 64 Рис. 17. Структурная схема управления информационными рисками Важнейший элемент управлении информационными рисками аудит безопасности. Существуют различные методики аудита, разработанные на основе стандартов. Как отмечалось выше, на основании закона «О техническом регулировании» мы вправе применять любые стандарты, в том числе и зарубежные. В России применение отечественных стандартов упрощает многие процедуры, связанные с сертификацией и лицензированием по линии Гостехкомиссии (ныне ФСТЭК РФ)2'. Оценка рисков в сфере информационной безопасности играет такую же важнейшую роль, как и во всех других областях человеческой деятельности: из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности, кредитные организации могут понести весьма ощутимый ущерб. 2 3Особенности российских стандартовзащиты информащси'УВУТП/Россия. 2005Ж» 12. |
52 Глава 2 Применение математических моделей при создании оптимальной системы информационной безопасности 2.1Методика анализа информационных рисков в рамках отдельной компании Оценка рисков в сфере информационной безопасности играет такую же важнейшую роль, как и во всех других областях человеческой деятельности; из-за неадекватной оценки рисков, связанных с осуществлением угроз информационной безопасности, компания может понести весьма ощутимый ущерб. Величина риска определяется вероятностью успешного выполнения угрозы и величиной ущерба, который в результате этого будет нанесен. При этом возможный ущерб далеко не всегда может быть выражен в денежных единицах, а вероятность успешной реализации угрозы вообще с трудом поддается точной оценке. Точность оценок зависит от того, насколько специалисты компании правильно представляют себе природу и способы реализации угроз, а также от их способности анализировать и оценивать последствия этих угроз. После оценки рисков наступает стадия управления рисками. Прогресс управления рисками включает выбор контрмер, позволяющих снизить величину рисков до приемлемой, и обоснование этого выбора. Менеджмент компании просто обязан осуществлять жесткий контроль над процессом управления рисками, не пуская это дело на самотек. Поскольку основой для предложений по управлению рисками служат экспертные оценки, важную роль в оценке рисков играет квалификация |