Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

     8.4 Комбинированный подход


В соответствии с четвертым вариантом подхода предполагается проводить предварительный анализ высокого уровня риска для всех систем информационных технологий, обращая особое внимание на деловую значимость системы и уровень риска, которому она подвергается. Для систем информационных технологий, которые имеют важное значение для деловой деятельности организации и/или подвержены высокому уровню риска, в первую очередь проводят детальный анализ риска. Для остальных систем информационных технологий следует ограничиться базовым вариантом подхода. Таким образом, комбинированный вариант, сочетающий лучшие свойства подходов, описанных в 8.1 и 8.3, позволяет при сведении к минимуму времени и усилий, затраченных на идентификацию должных защитных мер, обеспечить необходимую защиту систем с высоким уровнем риска.

Кроме того, комбинированный вариант подхода имеет следующие преимущества:

- использование быстрого и простого предварительного анализа риска позволит обеспечить принятие программы анализа риска;

- существует возможность быстро оценить оперативное состояние программы обеспечения безопасности организации, т.е. использование такого подхода будет в значительной мере способствовать успешному планированию;

- ресурсы и средства могут быть вложены туда, где они принесут максимальный эффект, так как они в первую очередь будут направлены в системы, в наибольшей степени нуждающиеся в обеспечении безопасности;

- проведение последующих мероприятий будет более успешным.

Единственный потенциальный недостаток данного варианта подхода состоит в следующем: поскольку предварительный анализ риска проводят исходя из предположения о его возможном высоком уровне, отдельные системы могут быть ошибочно отнесены к системам, не требующим проведения детального анализа риска. К этим системам в дальнейшем будут применены базовые методы обеспечения безопасности. При необходимости можно будет вернуться к рассмотрению этих систем с тем, чтобы удостовериться, не требуют ли они более тщательного по сравнению с базовым подходом рассмотрения.

Использование данного варианта подхода с анализом высокого уровня риска в сочетании с базовым подходом и (если необходимо) детальным анализом риска обеспечивает большинству организаций наиболее эффективное решение проблем. Таким образом, подобный подход является наиболее предпочтительным и будет более подробно рассмотрен в разделе 9.