Метод оцінювання ризиків для систем управління інформаційною безпекою

Abstract

Актуальність стрімкого розвитку ІТ-інфраструктури підприємств незмінно тягне за собою неконтрольоване зростання кількості загроз та вразливостей інформаційних ресурсів (ІР). У цих умовах оцінювання ризиків інформаційної безпеки (ІБ) дозволяє визначити необхідний рівень захисту інформації (ЗІ), здійснити його підтримку та розробити стратегію розвитку інформаційної структури об'єкта захисту. Аналіз та оцінювання ризиків є необхідною умовою при створенні системи управління ризиками та плану робіт із забезпечення ІБ. Відповідно до рекомендацій стандарту ISO/IEC 27001 для забезпечення ІБ на підприємстві будь-якої форми власності необхідно впроваджувати систему управління інформаційною безпекою (СМІБ). Основою такого стандарту є менеджмент ризиків, під яким мається на увазі аналіз, оцінювання та обробка ризиків ІБ. На сьогоднішній день існує безліч засобів аналізу та оцінювання ризику (ЗАОР), що використовуються для оцінювання, які представлені в досить широкому спектрі, що починається нормативними документами (стандартами) і конкретними програмними додатками.