Метод аналізу ризиків OCTAVE

KgCZ4A <a href="http://bpkmdlnmciak.com/">bpkmdlnmciak</a>, [url=http://ebcyasdjlnal.com/]ebcyasdjlnal[/url], [link=http://hpsrjzgwjhbd.com/]hpsrjzgwjhbd[/link], http://rrooncjtjain.com/

Основні положення підходу

OCTAVE є загальним підходом по оцінці погроз, ресурсів, і вразливостей на рівні організації в цілому. Основною посилкою (передумовою) є те, що ефективна оцінка ризиків повинна розглядатися як з організаційної так і технологічних точок зору, відображати те, як співробітники організації використовують інформаційно-телекомунікаційну інфраструктуру у своїй щоденній діяльності. Оцінка ризиків є життєво важливим елементом для прийняття рішень по забезпеченню безпеки інформації. Саме результати оцінки ризиків дозволяють сформувати єдину системну позицію керівництва організації на ризики безпеки, а також формують основу для формування й реалізації стратегії безпеки. Розглянутий підхід є стратегією оцінки й планування захисту інформації, що опирається на концепцію ризиків і забезпечення БІ. Принциповим моментом підходу є принцип внутрішнього керування процесами оцінки (принцип самоврядування), що означає, що в процесах вироблення корпоративної стратегії безпеки особисту участь приймають співробітники організації. Опираючись на свої знання співробітники дають реальну оцінку стану практичної діяльності по забезпеченню безпеки інформації (практики безпеки). Виявлені при цьому ризики для найбільш критичних активів (ресурсів) організації використовуються для визначення пріоритетних напрямків забезпечення безпеки інформації й загальної стратегії безпеки організації. Більшість існуючих методик аналізу ризиків орієнтуються на технологічні ризики й на тактичні проблеми (захист інформації в конкретній системі або мережі). При цьому упускаються стратегічні цілі організації. У такий спосіб часте рішення завдань захисту інформації стає видно в мережі (системі). Рішення приймаються не залежно від реальних потреб у забезпеченні безпеки інформації й від реальних потреб організації в таких задачах. Це порушує основні принципи забезпечення безпеки інформації: про єдність цілей організації й цілей захисту інформації. Саме тому, особливо у великих компаніях, необхідно мати ефективні методики, які дозволять погоджувати задачі організації й завдання захисту інформації. Підхід OCTAVE орієнтований на організаційні ризики і в якості свого фокуса розглядає стратегічні проблеми інформаційної безпеки, пов'язані з організацією практичної діяльності по забезпеченню безпеки інформації. На інфраструктурному рівні при виробленні рішень необхідно забезпечити баланс між трьома ключовими аспектами: операційні ризики, практика безпеки й технології.

Методика оцінки ризиків OCTAVE

1) Встановити критерії для управління ризиками

2) Розробити перелік інформаційних активів

3) Ідентифікувати зміст інформаційних активів

4) Ідентифікувати межі застосування

5) Визначити сценарії загроз

6) Визначити ризики

7) Проаналізувати ризики

8) Обрати підходи по зменшенню ризиків

Схема методики оцінки ризиків OCTAVE [[1]]

--Тарас Лозович 23:53, 10 листопада 2011 (MSK)