Читать «Актуальные уголовно-правовые проблемы борьбы с финансовым мошенничеством» онлайн - страница 214
Олег Геннадьевич Карпович
Наиболее эффективный подход к определению приоритетов в области защиты информации основан на оценке рисков. Для построения системы управления рисками в сфере IT-безопасности часто используется метод GRAMM (UK Government Risk Analysis and Management Method), который был разработан и принят в качестве государственного стандарта в Великобритании. Метод GRAMM широко используется во всем мире. Одним из его основных достоинств является возможность экономически обосновать расходы организации на управление информационной безопасностью.
Структурировать информацию необходимо для того, чтобы была возможность определить объекты защиты. В большинстве случаев классификация информационных ресурсов строится по функциональному признаку. В соответствии с таким подходом следует назначить владельцев информационных ресурсов и определить уровни конфиденциальности.
Занимаясь наведением порядка в информационном окружении компании, целесообразно задуматься и о внедрении средств управления документооборотом.
Процедуру предоставления доступа к информации необходимо описать и закрепить регламентом, причем срок выполнения этой процедуры должен быть минимальным, поскольку от этого зависит конкурентоспособность компании. В то же время излишнее упрощение данного порядка таит в себе другую опасность — появляется вероятность несанкционированного доступа к конфиденциальной информации.
Необходимо найти «золотую середину» между ограничениями, связанными с информационной защитой, и свободой обмена информацией внутри и вне компании.
В соответствии со стандартами следует создать специальный комитет по информационной безопасности.
5.
Результатом этой процедуры должен стать список всех потенциальных рисков. Поэтому после выявления рисков необходимо провести их оценку, для чего следует привлекать внутренних экспер-263 тов. После анализа и суммирования оценок нужно определить точку отсечения, иначе говоря, выделить ту группу рисков, которые являются наиболее приоритетными, а остальные риски достаточно просто принять к сведению.
Планирование мероприятий по информационной безопасности необходимо для того, чтобы были определены сроки и составлен перечень работ, которые необходимы для предотвращения или минимизации ущерба в случае реализации риска.
Результатом процедуры планирования должен стать план-график работ по исключению или минимизации ущерба от реализованного риска.
Целью процесса управления информационной безопасностью является выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения.