ИТ-архитектура. Практическое руководство от А до Я. Первое издание. Вадим Алджанов
Чтение книги онлайн.

Читать онлайн книгу ИТ-архитектура. Практическое руководство от А до Я. Первое издание - Вадим Алджанов страница 53

СКАЧАТЬ целостности,

      •Нарушение достоверности

      •Нарушение конфиденциальности

      По механизму воздействия:

      •Аварии

      •Ошибка персонала

      Критерии оценки

      К основным критериям оценки ценности ресурсов можно отнести следующие:

      •Ущерб для репутации организации

      •Безопасность персонала

      •Разглашение персональных данных

      •Разглашение конфиденциальных данных

      •Разглашение коммерческой информации и сведений

      •Санкции со стороны надзорных и государственных органов

      •Финансовые потери

      •Нарушения нормального функционирования организации

      Основные шаги и стадии

      В качестве основных шагов можно принять следующие действия:

      Организация процесса управления рисками (General Risk Management)

      •Разработка процесса, политик и процедур по Управлению Рисками

      •Классификация ресурсов, рисков, уязвимостей, угроз

      •Классификация реакции на риски и методов оценки

      •Формирование комитета Управления Рисками

      •Формирование экспертной группы, в состав которой входят специалисты ИТ, а также специалисты бизнеса.

      Идентификация и оценка ресурсов (Identification and Valuation of Assets)

      •Экспертная группа идентифицирует и оценивает ценность ресурсов

      •Экспертная группа идентифицирует возможные риски

      Оценка угроз и уязвимостей (Threat and Vulnerability Assessment)

      •Экспертная группа оценивает уязвимости систем

      •Экспертная группа оценивает угрозы систем

      Анализ Рисков (Risk Analysis)

      •Экспертная группа проводит качественный и количественный анализ рисков. В качестве основных критериев определяются: «вероятность» и «влияние» и классифицируются по значениям: «высокое», «среднее» и «низкое».

      •Проводится количественный анализ рисков (при необходимости)

      •Экспертная группа группирует риски и формирует матрицу (реестр) рисков

      Управление Рисками (Risk Management)

      •Концентрируется внимание на рисках со значениями «высокое» и «среднее».

      •Определяется реакция на риски (принятие, снижение, передача и т п)

      •Определяются возможные контрмеры и стоимость их внедрения

      •Формируется ряд сценариев проекта как минимум «негативный», «позитивный» и «реалистичный»

      •Проведение корректировки

      •Результаты документируются и принимается решение

      •Все изменения в планах проекта должны обсуждаться и документироваться

      Как минимум должны быть сформированы следующие документы:

      •реестр рисков,

      •запросы на изменение,

      •протоколы обсуждений.

      В процессе эксплуатацию ИТ сервиса проводится процесс СКАЧАТЬ