Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

     8.3 Детальный анализ риска


Третий вариант подхода предполагает проведение детального анализа риска с получением результатов для всех систем информационных технологий, действующих в организации. Детальный анализ риска включает в себя подробную идентификацию и оценку активов, оценку возможных угроз, которым могут подвергнуться эти активы, а также оценку уровня их уязвимости. Результаты этих операций затем используют для оценки рисков и последующей идентификации обоснованных защитных мер. Третий вариант подхода подробно представлен в 9.3.

Этот вариант подхода имеет следующие преимущества:

- весьма вероятно, что в результате этого подхода для каждой из систем будут определены соответствующие ей защитные меры обеспечения безопасности;

- результаты проведения детального анализа могут быть использованы при управлении изменениями в системе обеспечения безопасности.

В то же время такой вариант подхода характеризуется следующими недостатками:

- для его реализации и получения нужного результата требуется затратить значительное количество средств, времени и квалифицированного труда;

- существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, поскольку анализ будет проводиться одинаково тщательно для систем информационных технологий и для проведения анализа всех систем потребуется значительное время.

Таким образом, использование детального анализа риска применительно ко всем системам информационных технологий не рекомендуется. Если принято решение прибегнуть к такому варианту подхода, то возможны следующие дополнительные разновидности его использования:

- стандартный подход, отвечающий критериям настоящего стандарта (например, подход по 9.3);

- стандартный подход в разных вариантах, отвечающий потребностям организации; для ряда организаций предпочтительным может быть использование "детального анализа риска" (см. 9.3).