Процессы оценки и управления рисками служат фундаментом для построения системы управления информационной безопасностью организации. Эффективность этих процессов определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.
GlobalTrust поможет Вам не только правильно оценить риски информационной безопасности, но также разработать и внедрить процедуру оценки рисков, соответствующую потребностям Вашей организации, которую Вы будете в дальнейшем применять самостоятельно и на постоянной основе. Мы также поможем Вам построить полноценную систему управления рисками информационной безопасности, которая позволит руководству организации принимать своевременные и экономически обоснованные управленческие решения.
При выполнении работ по оценке информационных рисков и внедрению процессов управления рисками в организации специалисты GlobalTrust руководствуются положениями британского стандарта BS 7799 Часть 3 – "Системы управления информационной безопасностью - Практические правила управления рисками информационной безопасности", определяющего процессы оценки и управления рисками как составной элемент системы управления организациии, спользуют широко распространенную во всем мире методологию OCTAVE, разработанную в университете Карнеги-Мелон (США), а также программный инструментарий «RA2 the art of risk», от разработчиков стандартов ISO/IEC 17799/27001.
Оценка рисков включает в себя мероприятия по определению того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого организации, в случае осуществления угрозы безопасности. Оценка рисков состоит в том, чтобы выявить существующие риски и оценить их величину. Процедура оценки рисков включает в себя ряд последовательных этапов:
- Настойка методологии оценки под конкретную организацию
- Выбор шкалы оценки рисков
- Оценка стоимости ресурсов, вероятности угроз и величины уязвимостей
- Определение допустимого уровня остаточных рисков
- Оценивание рисков
- Подготовка отчета по результатам оценки рисков
- Разработка реестра информационных рисков
- Принятие решений по обработке рисков
- Разработка Плана обработки рисков
- Разработка Декларации о применимости
- Согласование и презентация отчетных документов
Для предварительного заказа услуг по оценке рисков, уточнения задачи и получения дополнительных сведений Вы можете заполнить Заявку на оценку рисков. Наш менеджер обязательно свяжется с Вами и предоставит подробную информацию об услуге.
14-15 июня состоится мастер-класс «Внедрение и сертификация СУИБ в соответствии с требованиями международного стандарта ISO 27001»
