Когда-то я рассказывал о разных методах аудита и анализа корпоративных информационных систем. Тогда я говорил о том, что имеет смысл обратиться к специалистам, в совершенстве владеющим этими методиками. Но это возможно не всегда и не везде, ну и часто, ко всему прочему, хочется еще и сэкономить. Поэтому сегодня у нас будет этакая рубрика "Сделай сам" или "Очумелые ручки" - тут уже как кому больше нравится.
Владея в достаточной мере тематикой, специалист по информационной безопасности может самостоятельно разработать несложную методику, которая будет максимально полно соответствовать специфике информационной системы организации. Для этого необходимо отталкиваться от нескольких основных идей, которые объединяют широко применяемые методики анализа:
• Необходимо классифицировать все имеющиеся в организации информационные ресурсы с точки зрения критичности для бизнеса и стоимости.
• Необходимо определить наиболее вероятные для каждого из информационных ресурсов угрозы и затем провести анализ вероятности их реализации. Отталкиваться можно как от статистики, собранной в самой организации, так и от общедоступных источников, говорящих о частоте тех или иных инцидентов в вашей отрасли и/или в вашем регионе.
• Путем несложных вычислений можно определить стоимость одного инцидента, исходя из вероятности его реализации и стоимости информационного ресурса.
• Как уже упоминалось ранее, защита от этого инцидента не должна стоить дороже, чем потери от него же для компании.
• Все рекомендации по внедрению новых или модификации уже существующих систем должны быть подкреплены соответствующими расчетами.
Безусловно, методики, которые разработаны давно и применены сотни раз в разных сферах, дают более точные и комплексные результаты, но если стоит задача первичной оценки рисков и возможностей защиты информационной системы, можно справиться и самому со своей методикой, сделанной, что называется, "на коленке".
Комментариев нет:
Отправить комментарий