Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Внедрение процесса управления рисками информационной безопасности

Цель: выявление и устранение актуальных проблем информационной безопасности.

Общий процесс управления рисками включает следующие подпроцессы:

Оценивание / Risk Assessment
1. Идентификация / Risk Identification
  Результат: Реестр рисков
2. Анализ / Risk Analysis
  Результат: оценка параметров рисков (ущерб, вероятность)
3. Оценка / Risk Evaluation
  Результат: рассчет величины для каждого риска, соотнесение рисков с допустимым уровнем
Обработка / Risk Treatment
Результат: План обработки рисков

Реализация меры означает выполнение в организации всех подпроцессов управления рисками.
Варианты реализации:

На бумаге;
В таблицах (Excel);
В SECURITM
Подробнее в Документации

Для обеспечения процесса должны быть определены:

область оценки рисков (активы или типы активов, для которых оцениваются риски);
ценность (приоритет) активов (типов активов), для которых проводится оценка рисков;
периодичность оценивания (ежегодно, ежеквартально, непрерывно/динамически);
методика оценки, включая:
- формулы расчета величины риска;
- критерии для оценки рисков;
- критерии принятия рисков ( = критерии приемлемости риска);
- риск-аппетит ( = уровень допустимого риска, допустимый остаточный риск);
ответственные и роли в процессе;
владельцы рисков;

Результатами процесса являются:

Реестр рисков, в т.ч.:
- реестр недопустимых рисков;
- реестр принятых рисков;
План обработки рисков
- включает перечень влияющих на риски защитных мер ( = средств управления, контролей).

Рекомендации к заполнению карточки:

Создать шаблон регулярной задачи по актуализации реестра рисков, переоценке рисков, проверке полноты и исполнения плана обработки рисков.

Область действия: Вся организация

Классификация

Тип

Организационная

Детективная

Реализация

Вручную

Периодичность

Ежеквартально

Ответственный

Не определено

Инструменты

Не определено

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Высокая	Высокая	Неизвестно	Неизвестно	10 - Средняя
OPEX ^?	Отсутствует	Средняя	Средняя	Неизвестно	Неизвестно	10 - Средняя

Связанные риски

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.