Методика оценки риска ГРИФ 2006 из состава Digital Security Office
Смирнова Наталья Вячеславовна
0
17 марта 2006
На сегодняшний день существует две основные методики оценки рисков информационной безопасности: метод оценки рисков, основанный на построении модели угроз и уязвимостей, и метод оценки рисков, основанный на построении модели информационных потоков.
Разработка методики оценки риска - достаточно трудоемкая задача. Во-первых, такая методика должна всесторонне описывать информационную систему, ее ресурсы, ее угрозы и уязвимости. Сложность заключается в том, чтобы построить максимально гибкую модель информационной системы, которую можно было бы настраивать в соответствии с реальной системой. Во-вторых, методика оценки рисков должна быть предельно прозрачна, чтобы владелец информации, использующий ее, мог адекватно оценить ее эффективность и применимость к своей конкретной системе. Остановимся подробнее на методах оценки информационного риска.
Разработка методики оценки риска - достаточно трудоемкая задача. Во-первых, такая методика должна всесторонне описывать информационную систему, ее ресурсы, ее угрозы и уязвимости. Сложность заключается в том, чтобы построить максимально гибкую модель информационной системы, которую можно было бы настраивать в соответствии с реальной системой. Во-вторых, методика оценки рисков должна быть предельно прозрачна, чтобы владелец информации, использующий ее, мог адекватно оценить ее эффективность и применимость к своей конкретной системе. Остановимся подробнее на методах оценки информационного риска.