В первую очередь, требуется выбрать подход, в рамках которого будет осуществляться оценка рисков. Например, в качестве известных методик могут быть рассмотрены OCTAVE, CRAMM, RA2 и другие. Методики можно разделить на качественные и количественные, исходя из того какие используются меры шкал при проведении оценки вероятностей угрозы и результатов воздействия.
При проведении реализаций выбранных методик могут рассматриваться такие вопросы:
-расчет области оценки рисков;
-осуществление оценки рисков;
-проведение обработки рисков;
-проведение мониторинга и контроля;
-формирование рекомендаций, связанных с совершенствованием процесса защиты.
В сфере, связанной с оценкой рисков, могут быть бизнес-процессы, части инфраструктуры, разные сервисы, кадры и др. Проведение оценки рисков должно охватывать все предприятие в общем, так, чтобы сделать для него максимальные условия безопасности. Для каждой компоненты необходимо проводить определение владельцев, которые несут за нее ответственность.
После того, как были проведены оценки рисков требуется провести определение способа обработки для любого из рисков, которые являются недопустимыми. При этом могут быть различные варианты:
-использование защитных способов по снижению риска,
-избежание риска,
-осознание, что риск есть, и работа в этих условиях.
Какие способы применять – зависит от конкретной ситуации, их стоимости внедрения и использования.
Проведение управления информационными рисками и формирование системы, связанной с управлением информационной безопасностью – является сейчас необходимым шагом практически для любой организации.
ЛИТЕРАТУРА
1. Львович Я.Е. Принятие решений в условиях дестабилизации системы / Я.Е. Львович, Ю.С. Сахаров, Д.С. Яковлев // Вестник Воронежского института высоких технологий. 2013. № 11. С. 114-115.
2.Свиридов В.И. О защите информации при передаче данных по каналам связи / В.И. Свиридов // // Вестник Воронежского института высоких технологий. 2013. № 10. С. 179-185.
3.Ломов И.С. Анализ возможностей скрытия информации в аудиофайлах /И.С. Ломов // Моделирование, оптимизация и информационные технологии. 2013. № 2. С. 17.
4.Воронов А.А. Организационная составляющая методической основы комплексной системы безопасности предприятия / А.А. Воронов // Моделирование, оптимизация и информационные технологии. 2013. № 1. С. 15.