отчет о практике информатика. Шнайдер 2 семестр. Степеьзвание подпись Индивидуальное задание на учебную практику
 Скачать 1.02 Mb.
|
Оценка рисковНа рассматриваемой предприятии оценка рисков организуется согласно запросам ГОСТа Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» на основе использования общего подхода. Оценка рисков нарушения ИБ осуществляется, применяя базовый подход. Риск нарушения ИБ определяют на основе качественных оценок: степени возможности реализации угроз ИБ (далее — СВР угроз ИБ) выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов; степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов. Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры. Процедура 1. Определение перечня типов информационных активов, для которых выполняются процедуры оценки рисков нарушения ИБ (далее — область оценки рисков нарушения ИБ). Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов области оценки рисков нарушения ИБ. Процедура 3. Определение источников угроз для каждого из типов объектов среды, определенных в рамках выполнения процедуры 2. Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды, определенных в рамках выполнения процедуры 2,3. Процедура 5. Определение СТП нарушения ИБ для типов информационных активов области оценки рисков нарушения ИБ. Процедура 6. Оценка рисков нарушения ИБ. Результаты оценки рисков предоставляются в виде перечня рисков, каждому из которых определен ранг. В таблице 1.9 приводятся итоги оценки рисков. Таблица 1.9 Итоги оценки рисков информационным активам предприятия
|