Управление рисками информационной безопасности включает оценку возможного риска и принятие мер по его снижению, а также мониторинг результата. Каждая оценка включает определение характера риска и определение того, как он угрожает безопасности информационной системы. Это ведет непосредственно к снижению риска, например, к модернизации систем, чтобы минимизировать вероятность оцениваемого риска. Наконец, управление рисками включает в себя мониторинг системы на постоянной основе, чтобы увидеть, дали ли вмешательства по снижению риска желаемые результаты.
Основы самозащиты
Организация должна гарантировать, что у нее есть возможности для выполнения своей миссии. Он должен выявлять риски, которые угрожают этим возможностям, и оценивать защитные меры с учетом экономических и других затрат, связанных с этими мерами. Одним из рисков, с которым сталкивается большинство современных организаций, является нарушение информационной безопасности. Организация должна определить, где скомпрометированная информационная безопасность повлияет на ее способность выполнять свою миссию, и принять надлежащие корректирующие меры в рамках установленных бюджетных рамок.
Оценка риска
Когда организация определяет, что слабые места в информационной безопасности представляют риск для ее возможностей, она должна тщательно изучить свои ИТ-системы, операции, процедуры и внешние взаимодействия, чтобы выяснить, в чем заключаются риски. Это означает выявление возможных угроз, уязвимостей к этим угрозам, возможных контрмер, воздействия и вероятности. Риски могут быть классифицированы по степени серьезности в зависимости от воздействия и вероятности. Важность оценки заключается в том, что она позволяет выявить высокие риски, которые необходимо снизить.
Снижение рисков
Смягчение означает уменьшение или устранение рисков, выявленных в результате оценки. Стратегии борьбы с риском включают принятие риска, принятие мер по снижению риска, устранение риска путем устранения причины, ограничение риска путем введения мер контроля или передачу риска поставщику, клиенту или страховой компании. Какая стратегия подходит, определяется степенью, в которой риск влияет на способность организации выполнять свою миссию, и стоимостью реализации стратегии. Структурированное смягчение важно в качестве основы для управления рисками.
Оценка и мониторинг
После того, как оценка и смягчение последствий были завершены, организационная единица должна оценить немедленный результат и осуществлять мониторинг системы на постоянной основе. Этот процесс начинается с оценки результатов оценки и смягчения, включая установление контрольных показателей для прогресса. Продолжается оценка влияния изменений и дополнений на информационные системы. Наконец, он осуществляет постоянный мониторинг эффективности информационной безопасности с целью выявления областей, которые, возможно, придется оценить на предмет дополнительного риска. Оценка и мониторинг важны для определения того, насколько успешно организационная единица справилась с риском информационной безопасности.
