Список возможных рисков информационной безопасности предприятия
В приложение 2 предоставлен перечень рисков информационной безопасности, который содержит некоторые примеры угроз и уязвимостей, связанных с целями и механизмами контроля из ISO/IEC 27 002:2005. Этот перечень не является исчерпывающим и должен рассматриваться только в качестве примера, однако его более чем достаточно для проведения высокоуровневой оценки рисков.
Один из наиболее важных принципов заключается в том, что организация должна самостоятельно выбрать подходы к оценке и управлению рисками, которые должным образом учитывают и идентифицируют полный диапазон угроз и уязвимостей, имеющих отношение к ее бизнес-окружению и могут включать все или часть угроз и уязвимостей, приведенных в следующем перечне.
Оценка рисков информационно-технической безопасности предприятия
При оценивание рисков информационно технической безопасности следует учитывать не только риск возникновения угрозы, но и возможные последствия, которые могут оцениваться как в финансовом плане, так и во временных потерях от простоя оборудования. Оценка рисков будет осуществляться присвоением каждому риску некой цифры в диапазоне от 1 до 5, в зависимости от совокупности таких факторов, как:
- 1) вероятность возникновение угрозы;
- 2) сложность и стоимость механизмов защиты;
- 3) Последствия реализации данной угрозы на предприятие.
Например «Отсутствие резервного копирование БД» риск можно оценивать как маловероятным и присвоить ему цифру 1 т. е. вероятность того что это произойдёт при соблюдение элементарных правил информационно-технической безопасности крайне мала.
Для удобства чтения таблица с оценёнными рисками вынесена в приложение 3.
