Microsoft тәуекелдерін талдау әдісі.
Microsoft тәуекелдерді басқару процесі тәуекелді бағалау кезеңін келесі үш қадамға бөледі:
Жоспарлау. Тәуекелді сәтті бағалаудың негізін жасау.
Келісілген мәліметтер жинау. Үйлестірілген тәуекелді талқылау арқылы тәуекел туралы ақпаратты жинаңыз.
Тәуекелге басымдық беру. Дәйекті және қайталанатын процесс негізінде анықталған тәуекелдердің рейтингі.
Бағалау келесі мәліметтерді жинауды талап етеді:
Ұйымның активтері.
Қауіпсіздік қатерлері.
Осалдықтар.
Ағымдағы басқару ортасы (ескерту, нұсқаулықтың аудармасының авторлары қабылдаған терминологияда [8] ақпаратты қорғау құралдары мен шаралары басқару элементтері деп аталады, сәйкесінше басқару ортасы элементтер жиынтығы болып табылады).
Ұсынылған басқару элементтері.
Активтер – бұл ұйым үшін құнды кез келген нәрсе. Материалдық активтерге физикалық инфрақұрылым (мәліметтер орталықтары, серверлер және мүлік сияқты) кіреді. Материалдық емес активтер цифрлық нысанда сақталатын ұйым үшін құнды деректер мен басқа ақпаратты қамтиды (мысалы, банктік транзакциялар, төлем есептеулері, техникалық шарттар және өнімді әзірлеу жоспарлары). Кейбір ұйымдарда үшінші актив түрін, АТ қызметтерін анықтау пайдалы болуы мүмкін. АТ қызметі – бұл материалдық және материалдық емес активтердің жиынтығы. Мысалы, бұл корпоративтік электрондық пошта қызметі болуы мүмкін.
АҚСМ негізгі процестері.
Ақпараттық қауіпсіздікті басқару жүйесі (АҚБЖ) – ақпараттық қауіпсіздікті құру, енгізу, пайдалану, бақылау, талдау, қолдау және жақсарту кезіндегі бизнес-тәуекелдік көзқарасқа негізделген жалпы басқару жүйесінің бөлігі.
ISO / IEC 27001 талаптарына сәйкес құрылыс жағдайында ол PDCA үлгісіне негізделген:
Жоспар (жоспарлау) – АҚБЖ құру, активтер тізімін құру, тәуекелдерді бағалау және шараларды таңдау кезеңі;
Жасау (іс-әрекет) – тиісті шараларды жүзеге асыру және жүзеге асыру кезеңі;
Тексеру (верификация) – БАБЖ тиімділігі мен өнімділігін бағалау кезеңі. Әдетте ішкі аудиторлар орындайды;
Акт (жетілдіру) – алдын алу және түзету әрекеттерін жүзеге асыру;
Енгізу кезеңдері
Ақпараттық қауіпсіздік аспектілеріне жауапты лауазымды тұлғаларды анықтау
тиімді жұмыс істеуі үшін келесі қадамдарды қамтитын үздіксіз циклдік процесс қолданылуы керек:
әзірлеу (жоспарлау);
іске асыру (жоспардың орындалуы);
тексеру (іске асырылған шаралардың тиімділігі мен тиімділігін талдау);
жетілдіру (анықталған кемшіліктерді жою
Достарыңызбен бөлісу: |