Министерство по развитию информационных технологий и коммуникаций республики узбекистан каршинский филиал ташкентского университета


Download 0.91 Mb.
Pdf ko'rish
bet25/43
Sana06.04.2023
Hajmi0.91 Mb.
#1277784
TuriАнализ
1   ...   21   22   23   24   25   26   27   28   ...   43
Bog'liq
УК Практика Введение в управление рисками ИБ 2022 готовая

 
 
 
 
 
 
 
 
 


48 
12-Практическая работа 
Тема: Определение уровня информационной безопасности объекта. 
1. Общее описание выявления рисков информационной безопасности 
Исходные данные: Установлены ключевые критерии, объем и границы, 
структура процесса управления рисками информационной безопасности. 
Работа: Риски должны быть идентифицированы, количественно или 
качественно охарактеризованы, приоритизированы в соответствии с 
соответствующими целями организации и критериями оценки рисков. 
Руководство по внедрению: Риск — это сочетание последствий 
нежелательного события и вероятности того, что событие произойдет. 
Идентификация рисков описывает риски количественно или качественно и 
позволяет менеджерам ранжировать риски в соответствии с воспринимаемой 
серьезностью или другими установленными критериями. 
Идентификация риска состоит из следующих мероприятий: 
- выявление рисков в соответствии с п. 8.2; 
- анализ рисков в соответствии с пунктом 8.3; 
- Оценка риска в соответствии с п. 8.4. 
Идентификация рисков определяет важность информационных активов, 
идентифицирует угрозы и уязвимости, которые существуют (или могут 
существовать), идентифицирует существующие средства контроля и их 
влияние на выявленные риски, идентифицирует потенциальные последствия 
и, наконец, приоритизирует конкретные риски и классифицирует их в 
соответствии с оценкой рисков. критерии, определенные в контекстной 
установке. Идентификация риска часто выполняется с использованием двух 
(или более) итераций. Во-первых, проводится скрининг высокого уровня для 
выявления потенциально высоких рисков, которые требуют дальнейшей 
оценки. Следующая итерация может включать более глубокий анализ 
потенциально высоких рисков, выявленных в начальной итерации. В тех 
случаях, когда эти работы не дают достаточно информации для оценки риска
проводится более детальный анализ другим методом и применительно только 
к отдельным частям зоны подверженности риску. Организация сама выбирает 
свой подход к идентификации рисков, исходя из целей и задач идентификации 
рисков. Методы выявления рисков информационной безопасности 
представлены в приложении Д. Результат: Список выявленных рисков, 
ранжированных в соответствии с критериями оценки рисков. 

Download 0.91 Mb.

Do'stlaringiz bilan baham:
1   ...   21   22   23   24   25   26   27   28   ...   43




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling