МЕНЮ

» Управление рисками
» Понятие риска
» Виды рисков
» Анализ риска
» Страхование рисков
» Методы управления рисками
» Система управления рисками
» Риск-менеджмент
» Статьи
» Литература, книги
» Каталог журналов
» Экономический словарь

Разное

» Тематические ссылки
» Реклама
» Карта сайта




Рейтинг@Mail.ru

Методология OCTAVE для оценки информационных рисков

Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) разработана в университете Карнеги-Мелон, США и означает оценка критичных угроз, активов и уязвимостей.

Методологию OCTAVE используют широко во всем мире при выполнении работ по оценке информационных рисков и внедрению процессов управления рисками в организации. Данная методика имеет ряд модификаций, рассчитанных на организации разного размера и области деятельности.

Сущность методология OCTAVE заключается в том, что для оценки рисков используется последовательность соответствующим образом организованных внутренних семинаров (workshops). Оценка рисков осуществляется в три этапа, которым предшествует набор подготовительных мероприятий, включающих в себя согласования графика семинаров, назначения ролей, планирование, координация действий участников проектной группы.

На первом этапе, в ходе практических семинаров, осуществляется разработка профилей угроз, включающих в себя инвентаризацию и оценку ценности активов, идентификация применимых требований законодательства и нормативной базы, идентификацию угроз и оценку их вероятности, а также определение системы организационных мер по поддержанию режима информационной безопасности.

На втором этапе производится технический анализ уязвимостей информационных систем организации в отношении угроз, чьи профили были разработаны на предыдущем этапе, который включает в себя идентификацию имеющихся уязвимостей информационных систем организации и оценку их величины.

На третьем этапе производится оценка и обработка рисков информационной безопасности, включающая в себя определение величины и вероятности причинения ущерба в результате осуществления угроз безопасности с использованием уязвимостей, которые были идентифицированы на предыдущих этапах, определение стратегии защиты, а также выбор вариантов и принятие решений по обработке рисков. Величина риска определяется как усредненная величина годовых потерь организации в результате реализации угроз безопасности.

 

Новости

Партнеры