Invest-currency.ru

Как обезопасить себя в кризис?
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Критерии принятия риска

Критерии принятия риска

На решение о принятии (сохранении) риска оказывают влияние различные обстоятельства. Например, стартующий высокотехнологичный бизнес может принимать более высокие риски, нежели солидная организация традиционного профиля.

Основными факторами, влияющими на решение о принятии рисков,являются:

  • возможные последствия осуществления риска, т.е. расходы организации в каждом случае, когда это происходит;
  • ожидаемая частота подобных событий.

Количественные оценки этих факторов, как мы видели, являются очень неточными и субъективными, поэтому лица, принимающие решение, должны осторожно взвешивать точность и достоверность информации, на основании которой они принимают решение, и величину потерь, которую они готовы принять.

К числу субъективных факторов, оказывающих влияние на принятие решений по рискам, относятся в том числе:

  • готовность к принятию рисков (также известная как терпимость или склонность к риску);
  • простота реализации механизма контроля;
  • доступные финансовые, кадровые и информационные ресурсы;
  • существующие деловые/технологические приоритеты;

политика организации и руководства, например, в отношении следования тем или иным требованиям.

Критерии принятия рисков

Каждая организация должна установить критерии принятия рисков, определяющие максимально допустимый уровень остаточного риска, а также возможные исключения для определенных рисков при определенных обстоятельствах.

Риски, превышающие установленный руководством организации допустимый уровень, – это те риски, которые являются неприемлемыми для бизнеса, а связанная с ними деятельность – слишком рискованной. Все остальные риски, ниже этого уровня, являются допустимыми и могут быть приняты без дальнейшей обработки.

На практике многие риски занимают промежуточное положение между однозначно приемлемыми и очевидно неприемлемыми. Такие риски также нуждаются в обработке, хотя и не в первую очередь, и могут быть снижены при обеспечении хорошего возврата инвестиций. Поэтому в дополнение к максимально допустимому уровню остаточного риска мы также используем уровень однозначно приемлемого риска.

Уровни принятия риска:

· Низкий риск (уровень риска: от до 2) – однозначно приемлемые риски, составляющие обычныйрисковый фон организации.

· Средний риск (уровень риска: от 3 до 5) – потенциально приемлемые риски, уменьшение которых, однако, может дать положительный экономический эффект. Эти риски обычно нуждаются в обработке, но не в первую очередь.

· Высокий риск (уровень риска: от 6 до 8) – неприемлемые риски, нуждающиеся в скорейшей обработке. Сохранение данных рисков руководство организации считает крайне рискованным для своего бизнеса.

В ситуации, когда за разные риски отвечают разные подразделения организации, используемые критерии принятия рисков требуют согласования между этими подразделениями, а также с руководством организации. В противном случае возникает ситуация, при которой организация применяет разные критерии принятия рисков для разных областей контроля, что приводит к недооценке одних видов рисков и переоценке других.

На рисунке показано, как выглядят несогласованные критерии принятия рисков (1 – информационная безопасность, 2 – охрана труда, 3 – финансовый риск, 4 – операционный риск). В данном случае организация переоценивает риски информационной безопасности и недооценивает прочие операционные риски. Такая ситуация порождает определенные трудности с принятием решения по рискам.

Если организация применяет согласованные критерии принятия риска для всех областей деятельности в рамках единой системы управления рисками (ERM-системы), руководству значительно проще принимать решения по рискам. Это позволит избежать опасных последствий недооценки определенных видов рисков и необоснованных затрат на уменьшение рисков, которые, напротив, были переоценены.

Критерии принятия риска

План обработки рисков нарушений информационной безопасности.

Общие положения

Настоящий План разработан в соответствии с требованиями рекомендаций в области стандартизации информационной безопасности.

Риск информационной безопасности — риск прямых или косвенных потерь в результате несоблюдения работниками организации установленных порядков и процедур обеспечения информационной безопасности, сбоев и отказов в функционировании информационных систем и оборудования, случайных или преднамеренных действий физических или юридических лиц, направленных против интересов организации.

Обработка риска нарушения информационной безопасности это процесс выбора и осуществления защитных мер, снижающих риск нарушения информационной безопасности, или мер по переносу, принятию или уходу от риска.

План определяет необходимые действия и процедуры, которым должна следовать организация при обработке рисков информационной безопасности.

Обработка рисков информационной безопасности

2.1. Степень влияния риска информационной безопасности

В зависимости от степени влияния риска информационной безопасности на финансовый результат деятельности организации различают следующие уровни рисков информационной безопасности:

  • минимальный риск: финансовые потери отсутствуют или незначительны, нарушение информационной структуры локализовано в пределах автоматизированного рабочего места и не приводит к приостановке деятельности организации, время восстановления до одного часа;
  • средний риск: финансовые потери незначительны, нарушение значительной части информационной структуры и приостановка деятельности организации, время восстановления до трех часов, финансовые затраты на восстановление незначительны;
  • высокий риск: финансовые потери значительны, нарушение всей информационной структуры и приостановка деятельности организации, время восстановления до одних суток, финансовые затраты на восстановление средние;
  • критический риск: критические финансовые потери, нарушение всей информационной структуры, время восстановления до нескольких недель, финансовые затраты на восстановление средние.

2.2. Способы обработки риска

2.2.1. Снижение риска

Действие: Уровень риска должен быть снижен посредством выбора средств защиты и контроля так, чтобы остаточный риск мог быть повторно оценен как допустимый.

Руководство по реализации: Должны быть выбраны соответствующие и обоснованные средства защиты и контроля для того, чтобы удовлетворять требованиям, идентифицированным с помощью оценки риска и процесса обработки риска. Такой выбор должен учитывать критерии принятия рисков, а также правовые, регулирующие и договорные требования. Этот выбор должен также принимать в расчет стоимость и период реализации средств защиты и контроля или технические аспекты и аспекты среды. Средства защиты и контроля могут обеспечивать один или несколько из следующих видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.

Во время выбора средств защиты и контроля важно «взвешивать» стоимость приобретения, реализации, администрирования, функционирования, мониторинга и поддержки средств по отношению к ценности защищаемых активов.

Читать еще:  Какие могут быть риски проекта

Ограничениями при реализации способа «Снижение риска» являются:

  • временные ограничения;
  • финансовые ограничения;
  • технические ограничения;
  • операционные ограничения;
  • юридические ограничения;
  • простота использования;
  • кадровые ограничения;
  • ограничения, касающиеся интеграции новых и существующих средств контроля.

2.2.2. Сохранение риска

Действие: Решение сохранить риск, не предпринимая дальнейшего действия в зависимости от оценивания риска.

Руководство по реализации: Если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные средства защиты и контроля и риск может быть сохранен.

2.2.3. Предотвращение риска

Действие: Следует отказаться от деятельности или условия, вызывающего конкретный риск.
Руководство по реализации: Когда идентифицированные риски являются высокими или критическими, а расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем прекращения программы или отказа от планируемой или существующей деятельности, или совокупности действий или изменения условий, при которых проводится деятельность (действия).

2.2.4. Перенос риска

Действие: Риск должен быть передан (перенесен) стороне, которая может наиболее эффективно осуществлять менеджмент конкретного риска.
Руководство по реализации: Перенос риска включает в себя решение разделить определенные риски с внешними сторонами.

Перенос может быть осуществлен:

  • страхованием, которое будет поддерживать последствия;
  • с помощью заключения договора субподряда (аутсорсинга) с «партнером», чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении немедленных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба.

2.2.5. Принятие риска информационной безопасности

Входные данные: План обработки риска и оценка остаточного риска является объектом решения руководства организации о принятии риска.

Действие: Должно быть принято и формально зарегистрировано решение о принятии рисков и ответственности за это решение.

Руководство по реализации: Критерии принятия риска могут быть более многогранным аспектом, чем просто определение того, находится ли остаточный риск выше или ниже единого порогового значения.

В некоторых случаях уровень остаточного риска может не соответствовать критериям принятия риска, поскольку применяемые критерии не учитывают превалирующие обстоятельства. Например, может быть доказано, что необходимо принимать риски по причине выгод, связанных с рисками, которые могут быть очень привлекательными, или потому, что расходы, связанные со снижением риска, очень высоки. Не всегда возможно пересмотреть критерии принятия риска своевременно. В таких случаях лица, принимающие решения обязаны принять риски, которые не соответствуют стандартным критериям принятия. Если это необходимо, лицо, принимающее решение, должно явным образом прокомментировать риски и включить обоснование для решения, превышающего стандартный критерий принятия рисков.

Выходные данные: Перечень принятых рисков с обоснованием тех рисков, которые не соответствуют стандартным критериям принятия риска организации.

2.2.6. Коммуникация риска информационной безопасности

Входные данные: Вся информация о рисках, полученная в результате действий по менеджменту риска.

Действие: Принимающие решение лица и другие причастные стороны должны обмениваться и/или совместно использовать информацию о риске.
Руководство по реализации: Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент рисков путем обмена и/или совместного использования информации о риске между лицами, принимающими решения, и другими причастными сторонами (например, заключение соглашений с другими причастными сторонами о возможности отзыва (замены, исправления) ошибочной информации в приемлемый промежуток времени).
Эффективная коммуникация между причастными сторонами имеет большое значение, поскольку она может оказывать существенное влияние на решения, которые должны быть приняты. Коммуникация будет обеспечивать уверенность в том, что лица, отвечающие за осуществление менеджмента риска, и лица, относящиеся к заинтересованным кругам, понимают основу, на которой принимаются решения, и причины необходимости определенных действий. Коммуникация является двунаправленной.
Выходные данные: Постоянное понимание процесса менеджмента риска информационной безопасности организации.

Распределение ролей по реализации плана обработки рисков

3.1. Руководство организации:

  • определяет правила и процедуры управления рисками;
  • рассматривает и принимает решения по вопросам повышения безопасности организации и его клиентов;
  • оценивает риски, влияющие на достижение поставленных целей, и принимает меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки рисков;
  • определяет организационно – штатную структуру организации.

3.2. Департамент экономической безопасности:

  • участвует в разработке и апробации методик оценки риска информационной безопасности;
  • проводит мониторинг, анализ и оценку рисков информационной безопасности;
  • участвует в подготовке информации о результатах мониторинга риска информационной безопасности в составе операционного риска;
  • готовит предложения по коррекции методики оценки рисков информационной безопасности;
  • готовит предложения по разработке и внедрению мер, процедур, механизмов и технологий по ограничению и снижению рисков информационной безопасности;
  • участвует в реализации (внедрении) защитных мер;
  • осуществляет контроль реализованных защитных мер;
  • разрабатывает внутренние положения организации по рискам информационной безопасности.

3.3. Управление по анализу и контролю за рисками:

  • осуществляет сбор и введение в аналитическую базу данных информации о состоянии риска информационной безопасности в составе операционного риска;
  • проводит оценку операционного риска;
  • осуществляет контроль за соблюдением установленных лимитов показателей, используемых для мониторинга операционного риска;
  • регулярно представляет Комитету по рискам отчеты;
  • осуществляет разработку и внедрение мер, процедур, механизмов и технологий по ограничению и снижению операционного риска.

3.4. Работник организации:

  • оказывает содействие в проведении мониторинга, анализа и оценки рисков информационной безопасности;
  • докладывает непосредственному начальнику о выявленных факторах рисков информационной безопасности.

    Заключение

    Настоящий План является примерным и в каждом конкретном случае должен учитывать особенности текущей ситуации.

    Скачать ZIP файл (22660)

    Пригодились документы — поставь «лайк» или поддержи сайт материально:

    Принятие риска

    Принятие риска означает оставление всего или части риска за предпринимателем, т. е. на его ответственности. В этом случае предприниматель принимает решение о покрытии возможных потерь в результате свершения рискового события за счет собственных средств (например, самострахование).

    Основными методами принятия риска на себя являются:

    · компенсация – покрытие риска за счет текущего денежного потока;

    · резервирование – создание фонда средств на покрытие непредвиденных расходов;

    · самострахование – создание собственных страховых фондов, которые предназначены для покрытия убытков и создаются в виде перестраховочных компаний.

    Вопрос о том, какой риск следует принимать на себя является одним из самых сложных и важных в практике риск-менеджмента.

    Современное понимание риск-менеджмента базируется на так называемой «концепции приемлемого риска», согласно которой основной целью процесса управления риском является придание максимальной устойчивости всем видам деятельности организации путем удержания совокупного риска (ожидаемого уровня потерь) в заданных стратегией развития организации пределах.

    Другими словами, можно сказать, что концепция приемлемого риска представляет собой поиск золотой середины, а именно определение некоторого компромиссного приемлемого уровня риска, который будет соответствовать определенному балансу между ожидаемой выгодой и угрозой потерь.

    Наиболее простым способом установления уровня приемлемого риска является определение пороговых значений риска в форме задания интервалов возможных значений критериальных показателей. В качестве критериальных показателей используются величины, численно выражающие размер соответствующего риска, например размер ущерба или вероятность его возникновения.

    Величина приемлемого уровня риска зависит от состояния и характера воздействия факторов внешней и внутренней среды предприятия, от отношения к риску руководителя, принимающего решения.

    Очевидно, что на специфику самого процесса принятия решений, будет влиять, в частности, склонность менеджера к риску. Тем не менее, не смотря на некоторую субъективность таких решений, они будут определяться следующими факторами:

    · особенностями измерения риска;

    · традициями ведения данного бизнеса и корпоративной культурой;

    · спецификой принятой программы управления риском.

    Если компания четко понимает, какие риски она готова принять, то ей будет проще определить границу между приемлемым и неприемлемым рисками. При этом уровень принимаемых рисков должен соответствовать стратегическим целям компании и определять методы управления ими.
    Принятие концепции «приемлемого риска» влечет ряд следствий, касающихся организации риск-менеджмента и его места в управлении компанией.

    Во-первых, управление рисками – это процесс, который должен начинаться уж на стадии разработки стратегии организации, причем с участием ее владельцев, поскольку именно владельцы и именно при разработке стратегии должны задать планку максимального уровня суммарного риска, на который будет готова идти организация.

    Во-вторых, несмотря на то, что управление рисками должно быть интегрировано в общий процесс управления компанией, целесообразно, чтобы служба риск-менеджмента была организационно независима от других функциональных подразделений, то есть напрямую подчинялась высшему руководству.

    В-третьих, высокий уровень риска не должен служить основанием для отказа от принятия решения. Детальный анализ риска и разработка мероприятий, уменьшающих его отрицательные последствия до приемлемого уровня, позволят осуществлять высокорискованные мероприятия, фактически рискуя настолько малым, насколько это приемлемо для компании. Кроме этого концепция приемлемого риска дает возможность оценить воздействие риска, концентрировать и распределять ресурсы не только на предотвращение воздействия рисков, но и на заблаговременную подготовку к ним.

    Итак, концепция приемлемого риска ориентирует организацию на создание эффективной системы управления рисками. Для этого руководство должно:

    · осознать потребность в управлении рисками;

    · получить сводные данные о фактических потерях и их причинах за прошлые периоды и спрогнозировать тенденцию их изменения;

    · принять решение о разработке программы управления рисками, используя интегративный подход, то есть комплексный подход к рискам и возможностям предприятия;

    · определить ответственного руководителя за развитие риск-менеджмента на предприятии.

    Не нашли то, что искали? Воспользуйтесь поиском:

    Лучшие изречения: Да какие ж вы математики, если запаролиться нормально не можете. 8841 — | 7652 — или читать все.

    Критерии_оценки влияния риска на бизнес-процессы (Kv)

    1. В виде обобщенного значения показателя влияния на бизнес-процессы, как функции от вероятности сценария инцидента (в шкале степени влияния на бизнес). Пример в приложении Е (табл.Е.1b) [1]. Конечные значения величины влияния угрозы могут быть заданы в форме лингвистической переменной «малое» [0-2], «среднее» [3-4], «высокое» [5-6], «критичное» [7-8]. Значения в квадратных скобках определяют границы интервалов метрики рисков заданных табл. E.1b [1].

    2. В форме экспертных оценок влияния на бизнес-процессы, заданных в форме лингвистической переменной «малое», «среднее», «высокое», «критичное».

    Критерии_принятия риска (Kp)

    Представляют собой определённые значения критериев оценки рисков и влияние, которые являются пороговыми при принятии решения. Так как эти критерии трудно определить в начальном цикле оценки рисков, процесс оценки рисков повторяется начиная с первого этапа «Установления контекста» организации (раздел 6)[1].

    Инвентаризация и классификация информационных активов (этап 1)

    Основная цель этапа — изучение бизнес-процессов организации, инвентаризация и классификация информационных активов АКБ «X-trimBank».

    В результате выполнения этого этапа определяются приоритеты активов по их ценности. Модель классификации информационных активов необходимо представить в форме кортежа

    А (active) – информационный актив АКБ «X-trimBank» (по варианту задания).

    F (form)– форма представления актива (процесс, база данных, бумажный документ, программное обеспечение, оборудование, архив и т.д.).

    H (holder) –владелец актива.

    V (value)– оценка ценности активов в форме терм-переменной, принимающей значения «критичная», «высокая», «средняя», «низкая». Возможна и количественная оценка ценности актива при его утрате, выходе из строя или компрометации.

    Результаты представляются в форме таблицы, ранжированной по уровню ценности активов. По результатам анализа таблицы делаются выводы о ценности информационных активов и ответственных за их безопасность. Результаты анализа представляются в форме гистограмм «распределение активов по ценности» и «распределение активов по ответственным». По результатам анализа делаются выводы.

    Пример по инвентаризации и классификации актива

    Пример моделирования и классификации активов в следующей табл.

    A (номер актива)(БП-бизнес-процесс; Об-оборудование; По-программное обеспечение; Ос — операционная система; Ас-автоматизированная банковская система; Тк — телекоммуникационный канал связи . )H (владелец: У-управляющий, З-заместитель, И-инж.-адм., Ф-отдел ФЛ, Ю-отдел Юрл)V (ценность: высокая (В), средняя (С), низкая (Н) )

    Примечание

    Техн. процесс

    Принтер

    Результаты анализа представляются в следующей форме (рис.4).

    В конце анализа делаются выводы:

    · Как распределяется ответственность персонала по активам ?

    · Как распределяются активы по ценности ?

    · Как распределяются активы по ценности и персоналу ?

    Моделирование угроз и оценка рисков информационной безопасности (этап 2)

    В таблице 4 приведены угрозы, актуальные для АКБ «X-trimBank[2, прил.1-С]

    Актуальные угрозы АКБ «X-trimBank

    N (актив)Вид угрозыСодержание угрозы
    1.1Пожар
    1.2Ущерб, причиненный водой
    2.1Природные явленияКлиматическое явление
    3.1Утрата важных сервисовАвария системы кондиционирования воздуха или водоснабжения
    3.2Нарушение энергоснабжения
    3.3Отказ телекоммуникационного оборудования
    4.1Помехи вследствие излученияЭлектромагнитное излучение
    4.2Электромагнитные импульсы
    5.1Компрометация информацииПерехват компрометирующих сигналов помех
    5.2Дистанционный шпионаж
    5.3Прослушивание
    5.4Кража носителей или документов
    5.5Кража оборудования
    5.6Поиск повторно используемых или забракованных носителей
    5.7Данные из ненадежных источников
    5.8Преступное использование аппаратных средств
    5.9Преступное использование программного обеспечения
    6.1Технические неисправностиОтказ оборудования
    6.2Неисправная работа оборудования
    6.3Нарушение функционирования программного обеспечения
    6.4Нарушение сопровождения информационной системы
    7.1Несанкционированное использование оборудования
    7.2Мошенническое копирование программного обеспечения
    7.3Использование контрафактного или скопированного программного обеспечения
    7.4Искажение данных
    7.5Незаконная обработка данных
    8.1Компрометация функцийОшибка при использовании
    8.2Злоупотребление правами
    8.3Фальсификация прав
    8.4Отказ в осуществлении действий
    8.5Нарушение работоспособности персонала

    Моделирование угроз для информационных активов банка проводится по результатам аудита. Модель угроз представляются в форме кортежа [3]

    , (2)

    N угроза (наименование) или код (табл.4).

    T –классификация угрозы по шкале [0, 1, 2].

    A– наименование актива (объекта) или его код (табл.2), в отношении которого реализуется угроза.

    Ny – наименование уязвимости или её код (табл.1).

    YTA– уязвимости актива по этой угрозе, заданные по шкале [0, 1, 2].

    PTY вероятность реализации угрозы по этой уязвимости (в том случае, если угроза оценивается по шкале вероятности ).

    UTA – оценка возможных результатов реализации угрозы, оценивается как ценность актива по шкале [ 0, 1, 2, 3, 4 ].

    Ktv– показатель влияния на бизнес-процессы (при необходимости).

    M– метрика комплексной оценки угроз с учетом уязвимостей и ценности актив [2, прил.Е.1.а] , рассчитываемая как сумма M=T+Yta+Uta. Вариант моделирования угроз по одному активу представлен в табл.5.

    Результаты моделирования угроз (фрагмент)

    Nt

    T

    A

    Ny

    Yta

    Uta

    M

    Анализ проводится по сводной таблице (рис.5).

    В результате анализа делаются выводы:

    1. Как распределяются угрозы по вероятности и возможному ущербу ?

    2. Как распределяются угрозы по степени опасности и ценности активов ?

    3. Как распределяются угрозы по уязвимости активов и их ценности ?

    A

    Nt

    Количество по полю NyМаксимум по полю MМаксимум по полю UtaМаксимум по полю Yta

    Рис.7.Диаграмма анализа результатов моделирования угроз

    Обработка рисков (этап 3)

    При находятся показатели рисков, необходимые для принятия плана обработки рисков, включающие:

    · вариант обработки риска (снижение, сохранение, предотвращение или перенос риска) (Var), Var=

    · предлагаемые меры контроля и управления (Мс);

    · затраты на меры контроля и управления (Zat).

    Модель обработки рисков может быть представлена в виде:

    В том случае, если оценка ущерба определялась в форме значения шкалы ценности актива [0-4], для перехода к денежному эквиваленту оценки ущерба определяют предельные значения ущерба для каждой шкалы, а затем применяя процедуру рандомизации, вычисляют случайное значение ущерба для каждой угрозы. Например, «малозначимый» ущерб возможен до 30 000 руб,«средний» до 200 000 руб, «высокий» до 1000000 руб, «критичный» [3] до 5000000 руб и свыше 5000000 руб «недопустимый» [4].Тогда процедура вычисления ущерба для категории «высокий» будет Uta=RND(200000, 1000000), где RND–датчик случайных чисел в заданном интервале.

    Если критерий вероятности угрозы ( Т) необходимо выразить в численных значениях возможности, тогда используется аналогичная процедура рандомизации значения Р. Вариант моделирования представлен на рис.8.

    Анализ проводится по диаграммам и графикам.

    В результате анализа делаются выводы:

    1. Как распределяются рисков по вариантам обработки и ценности активов ?

    2. Как распределяются риски по мерам контроля ?

    3. Какие риски взаимосвязаны по мерам контроля и управления ?

    4. Как распределяются затраты по мерам контроля и управления в зависимости от мер опасности угроз (М) ?

    5. Как распределяются риски по степени влияния на бизнес процессы ?

    Моделирование плана обработки рисков (этап 4)

    Моделирование плана обработки рисков предполагает анализ модели плана по различным стратегиям управления рисками. Модель плана имеет следующий вид:

    где Sz— накопленная сумма затрат на меры контроля ранжированных рисков;

    Su — накопленная сумма возможных последствий от реализации угроз;

    Uat-Zat – разница между двумя суммами.

    Основными стратегиями обработки рисков являются:

    1. Принятие рисков для которых выполняется условие: (М≤Mz)Ç (Ktv≤Kv) .

    2. Принятие рисков при условии … (разработать самостоятельно).

    3. Принятие рисков при условии … (разработать самостоятельно).

    4. Принятие рисков при условии … (разработать самостоятельно).

    5. Принятие рисков при условии … (разработать самостоятельно).

    6. Принятие рисков при условии … (разработать самостоятельно).

    7. Принятие рисков при условии … (разработать самостоятельно).

    Анализ рисков информационной безопасности и разработка предложений по реорганизации системы защиты информации с учетом требований по обеспечению непрерывности бизнеса. Кроме того, на этом этапе разрабатывается, при необходимости, новая рациональная схема размещения информационных активов. По результатам анализа плана обработки рисков делаются выводы и оцениваются остаточные риски. При высокоуровневой оценке рисков предлагаемые меры включают организационные мероприятия, физическую защиту активов, резервное копирование и антивирусное ПО. Вариант моделирования плана обработки рисков представлен на рис.9.

    Рис.9. Результаты моделирования плана обработки рисков

    Графики результатов моделирования п различным стратегиям управления рисками представляются в форме (рис.10).

    Дата добавления: 2018-02-15 ; просмотров: 374 ;

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector