Профессионал управления проектами
РЕКЛАМА: «Богданов и партнеры», ведущая консалтинговая компания СНГ в области управления проектами, MS Project.

Система управления

Скачать project

Календарное планирование

Управление программами

Целевые программы

Аутсорсинг

Управление проектами

Стратегическое планирование

Система управления предприятием

Project скачать бесплатно

email 
 пароль 
 поиск 
PMProfy » Статьи » Теория управления проектами
Современные концепции управления информационными рисками
С.В. Симонов
Дата публикации: 04.08.2003
Источник: УСП Компьюлинк
Версия для печати (доступна только зарегистрированным пользователям)Версия для печати

Под управлением информационными рисками (Risk Management for Information Technology Systems) понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на  информационную систему.

Наличие системы управления рисками является обязательным  компонентом общей системы обеспечения информационной безопасности на всех этапах жизненного цикла.

Постановка задачи обеспечения информационной безопасности может варьироваться в широких пределах. Соответственно, варьируются и концепция управления рисками.Основным фактором, определяющим отношение организации к вопросам информационной безопасности, является степень ее зрелости.

В соответствии с одной из моделей организации с позиции их зрелости, предлагаемой Carnegie Mellon University, выделяется 5 уровней зрелости (рис. 1)которым, как правило, соответствует различное понимание проблем информационной безопасности организации. Проблема обеспечения режима информационной безопасности, управления информационными рисками будет ставиться (хотя бы в неявном виде) и решаться для организаций, находящихся на разных уровнях развития, по-разному.

На первом уровне она, как правило, руководством формально не ставится. Но это не значит, что она не решается сотрудниками по собственной инициативе, и возможно эффективно. 

На втором уровне проблема обеспечения информационной безопасности, решается неформально, на основе постепенно сложившейся практики. Комплекс мер (организационных и программно-технических)  позволяет защититься  от наиболее вероятных угроз, как потенциально возможных, так и имевших место ранее. Вопрос относительно эффективности защиты не ставится. Таким образом, постепенно складывается  неформальный список актуальных для организации классов рисков, который постепенно пополняется.
Если серьезных инцидентов не происходило, руководство организации, как правило, считает вопросы информационной безопасности не приоритетными. В случае серьезного инцидента сложившаяся система обеспечения безопасности корректируется, а проблема  поиска  других возможных брешей в защите, может быть осознана руководством.

На третьем уровне в организации считается целесообразным следовать в той или иной мере (возможно частично) стандартам и рекомендациям, обеспечивающим  базовый уровень информационной безопасности (например, ISO 17799), вопросам документирования уделяется должное внимание. 
Технология управления режимом информационной безопасности в полном варианте включает следующие элементы:

  • Документирование информационной  системы организации с позиции информационной безопасности;
  • Категорирование информационных ресурсов с позиции руководства организации;
  • Определение возможного воздействия различного рода происшествий в области безопасности на информационную технологию;
  • Анализ рисков;
  • Управление рисками на всех этапах жизненного цикла;
  • Аудит в области информационной безопасности.


Документы к статье Документы к статье
GIF, 20 КБайт
GIF, 17 КБайт
предыдущая 1. 2. 3. 4. 5. 6. 7. 8. 9. следующаяСледующая страница
Страница 1 из 9

 

Материалы по теме Материалы по теме
Олег Мележников
Обсуждение Обсуждение

Пожалуйста, авторизуйтесь или зарегистрируйтесь для участия в обсуждении.

Правила использования материалов
(C) 2002-2022 PMProfy