Используя полученные диаграммы, специалист по оценке рисков получает возможность определить структуру бизнес-процессов, те информационные системы, в которых происходит обработка защищаемой информации, и физические носители, на которых выполняется транспортировка и хранение защищаемой информации. Все это является ценным источником для выявления уязвимостей в бизнес-процессах и информационных системах, которые могут стать причиной реализации угроз и нанесения вреда бизнесу организации.

При определении списка актуальных угроз можно порекомендовать использовать подход, основанный на создании обобщенной модели возможных угроз, исходя из которой уже будут определяться специфичные угрозы для конкретной организации.

Оценка вероятности реализации угроз

Это один из самых спорных моментов при проведении оценки рисков. Непонятно, на основании чего можно утверждать, что данная угроза будет реализована с большей долей вероятности, а другая — с меньшей. Статистических данных на этот счет нет ни в России, ни за границей. В США, правда, существует ряд законов, обязывающих организации оповещать своих клиентов в случае наличия подозрений в возможной компрометации их данных, что создает возможность как-то отлеживать статистику инцидентов, однако у России своя специфика и данные, полученные из-за рубежа, далеко не всегда применимы у нас.

Для решения этой проблемы можно порекомендовать подход, основанный на том, что вероятность реализации угрозы напрямую зависит от того, насколько мощными являются защитные меры, применяемые в организации. Безусловно, абсолютно незащищенная система, имеющая критическую уязвимость, может благополучно функционировать в интернете, будучи не скомпрометированной, однако, вероятность того, что она все же будет взломана и этот взлом останется незамеченным, выше, чем для системы, обладающей рядом защитных механизмов. Злоумышленники всегда ищут самые слабые места, ведь чем сложнее атака, тем больше ресурсов надо на нее затратить и тем слабее отдача от такой работы и выше вероятность ошибки.

Ключевые слова: ISO, IT, аудит, бизнес, ИБ, рынок

Статьи по теме

• Как сделать ИТ-аутсорсинг прозрачным?
  Несмотря на то, что ИТ-аутсорсинг способен значительно оптимизировать расходы на поддержку ИТ-инфраструктуры, развитие данного рынка в России происходит не столь высокими темпами. Одной из причин являются опасения потери либо компрометации критически важных данных. В этой связи может обратить на себя внимание новая концепция Managed Services – более гибкая модель аутсорсинга непрофильных ИТ-систем, позволяющая строго регламентировать [...]
• Управление продажами в ИТ: 10 шагов к успеху
  Тема кризиса становится все более популярной среди руководителей ИТ-продаж и сейлз-менеджеров. До кризиса все ошибки нивелировал экстенсивно растущий на нефтяных деньгах рынок. Сегодня неэффективное управление продажами неминуемо приведет компанию к краху. Особенно остро эта проблема может проявиться при продажах крупных и сложных ИТ-проектов, организационного консалтинга, связанного с изменениями бизнес-процессов и внедрением ИТ-систем, различных ИТ-сервисов и [...]
• Преимущества ИТ в авиации
  Большинство новых ИТ-инициатив авиапредприятий направлены на повышение лояльности пассажиров. Тем печальнее, что пользу от дорогостоящих CRM-систем, систем поддержки специальных маркетинговых программ, электронных билетов и т.д. все еще может перекрыть негативный опыт столкновения с человеческим фактором. Когда регистрация проходит нервно, багаж теряется, рейс задерживается, или сервис на борту оставляет желать лучшего. Тем не менее, повышение качества [...]
• От безысходности
  «У нас еще в студенческие годы появилась идея интересного софт-проекта «Таск-менеджера Мегаплан» по оптимизации управления компаниями, вспоминает г-н Уколов. Мы начали искать инвестора. Но денег никто не дал». После первой неудачи выпускники МЭСИ Михаил Уколов и Олег Рыбалов (ныне финансовый директор «Ютинет.Ру») решили не ждать милостей от инвесторов и заработать самостоятельно. Поскольку оба [...]

Pages: 1 2 3 4 5 6 7

Эта запись была создана в Среда, февраля 11, 2009 в 16:54 и добавлена в раздел Рынок IT. Понравилась заметка? Подписывайтесь на обновления через RSS 2.0 канал. Вы можете оставить комментарий, или trackback к этой записи.