Риски нарушения информационной безопасности

12.04.2011 | 13:51
Риски нарушения информационной безопасности В работе современных кампаний все чаще пользуются информационными технологиями, не используя бухгалтерское сопровождение, а это риск. Для его предотвращения и оценки применяют методики: OCTAVE, CRAMM, RA2. Они делятся на количественные и качественные, из-за применяемой при оценке угрозы и тяжести последствий информации, шкалы. Отличие методик состоит в подходе (базовый уровень или детальное оценивание рисунков) и процедуре оценивания рисков. Некоторые имеют инструментальные средства, которые содержат базу знаний и механизм их минимизации. Любая из них определит область оценки рисков, оценит и обработает риск, а некоторые бухгалтерские услуги проведут мониторинг и контроль, усовершенствуют процесс.

Необходимо создание структуры, управляющей рисками, а также разрабатывается политика управления рисками ИБ, отражающая цель и процесс управления, критерии при управлении рисками, функциональные роли.

При оценке рисков учитываются элементы инфраструктуры, бизнес-процессы, сервисы, информационные активы, персонал. Проводимая впервые оценка разделяется на области (вспомогательный бизнес-процесс или конкретный информационный актив). Идентифицируются информационные активы, определяется ценность, определяются угрозы и вероятная реализация, производится оценка и ранжирование.

Любая информация независимо от ее представления, имеющая ценность для организации и в ее распоряжении является информационным активом, в нее входит наличие персональных данных, стратегический бизнес-план, ноухау, любая коммерческая или служебная тайна. Ценность таких активов определяет степень тяжести последствий (СТП) и если актив утратил конфиденциальность, целостность и доступность. Угрозы бывают природного или техногенного характера, случайными и преднамеренными.

Оценочные компании количественно оценивают стоимость нематериальных активов, основываясь на рыночном, доходном или затратном подходах, что требует привлечение профессиональных оценщиков.

Исходя из результатов оценки рисков, определяется способ обрабатывания недопустимости риска: защитные меры, уход от риска путем отказа от деятельности, приводящей к его возникновению, страхование или передача на аутсорсинг, принятие риска. Это зависит от стоимости реализации и ожидаемых от нее выгод. Параллельно проводят мониторинг и контроль СУИБ, аудит, также контролируется изменение перечня активов, угроз.

Бухгалтерские услуги сопровождения