Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

     8 Основные варианты стратегии анализа риска организации


Прежде чем приступить к любым действиям, связанным с анализом риска, организация должна иметь стратегию проведения такого анализа, причем составные части этой стратегии (методы, способы и т.д.) должны быть отражены в содержании политики обеспечения безопасности информационных технологий. Эти методы и критерии выбора вариантов стратегии анализа риска должны отвечать потребностям организации. Стратегия анализа риска должна обеспечивать соответствие выбранного варианта стратегии условиям осуществления деловых операций и приложения усилий по обеспечению безопасности в тех областях, где это действительно необходимо. Рассматриваемые ниже варианты стратегии представляют собой четыре разных подхода к анализу риска. Основное различие между ними состоит в степени глубины проводимого анализа. Поскольку обычно проведение детального анализа риска для всех систем информационных технологий сопряжено со слишком большими затратами, тогда как поверхностное рассмотрение проблем, связанных с серьезным риском, не дает нужного эффекта, необходимо найти баланс между рассматриваемыми ниже вариантами.

Если не рассматривать вариант стратегии анализа риска, заключающийся в отсутствии принятия каких-либо защитных мер, и допустить, что реально появление различных видов риска неизвестного уровня и интенсивности, то существуют четыре основных варианта стратегии анализа риска организации:

- использование базового подхода (с низкой степенью риска) для всех систем информационных технологий, независимо от уровня риска, которому подвергаются системы, принятие того, что уровень обеспечения безопасности не всегда может оказаться достаточным;

- использование неформального подхода к проведению анализа риска, обращая особое внимание на системы информационных технологий, которые, как представляется, подвергаются наибольшему риску;

- проведение детального анализа риска с использованием формального подхода ко всем системам информационных технологий или

- проведение сначала анализа риска "высокого уровня" с тем, чтобы определить, какие из систем информационных технологий подвержены высокому уровню риска и какие имеют критическое значение для ведения деловых операций, с последующим проведением детального анализа риска для выделенных систем, а для всех остальных - ограничиваются применением базового подхода к проблемам обеспечения безопасности.

Ниже рассматриваются возможные варианты подхода к обеспечению безопасности и приводятся рекомендации по выбору предпочтительных вариантов.

Если организация решит не уделять внимания вопросам безопасности или отложить на потом внедрение защитных мер, то ее руководство должно ясно представлять себе возможные последствия такого решения. Хотя в этом случае отпадает необходимость затрат времени, средств, рабочих или других ресурсов, такое решение имеет ряд недостатков. Если организация не уверена в том, что функционирование ее систем информационных технологий абсолютно не критично к внешним угрозам, она может впоследствии встретиться с серьезными проблемами. Так, организация может нарушить положения каких-либо законодательных и нормативных актов или репутация организации может пострадать в случае несанкционированных доступов к информации и непринятия действий по их предупреждению. Если организацию не очень заботят проблемы обеспечения безопасности информационных технологий или она не имеет систем, безопасность которых важна для ведения деловых операций, она может следовать подобной стратегии. Однако при этом не будет иметь представления о том, насколько хорошо или плохо реальное состояние ее дел, так что для большинства организаций следование такой стратегии вряд ли является правильным.