MOF вводит совокупность процессов и процедур для управления ИТ-рисками.
Процесс управления рисками включает в себя 6 основных шагов:
- идентификация рисков;
- анализ и ранжирование рисков;
- планирование работ по обработке рисков;
- мониторинг рисков
- контроль работ по управлению рисками;
- документирование накопленного опыта. Обновление базы знаний рисков и документов, регламентирующих процесс управления рискам
MOF содержит детальное описание особенностей реализации каждой из выше перечисленных функций, привязанное к практике. Даются конкретные рекомендации по реализации соответствующих процессов на предприятиях, практическому решению возникающих при этом задач.
Внутри описания каждого из процессов сформированы требования и определены функции ролей командной модели MOF при выполнении различных задач в рамках выше перечисленных процессов.
В виде отдельных процессов выделены и детально рассмотрены следующие (относящиеся к функциям администрирования):
- системное администрирование;
- администрирование безопасности;
- администрирование службы каталогов;
- администрирование сети.
Для многих процессов представлены примеры шаблонов, отчетов, опросных листов.
В настоящее время Microsoft реализован инструмент SAT (Self Assessment Tool), предназначенный для самостоятельного аудита организацией свих процессов.
[2] Если получившийся уровень риска очень низкий, такой риск может считаться «незначительным» или не важным (значение <1 на шкале риска от 1 до 100). Дальнейшие действия по управлению подобными рисками можно отработать потом отдельно. Это даст уверенность, что они не будут пропущены, когда будет выполняться следующая периодическая оценка риска. Это также полезно тем, что в организации будут полные записи всех рисков определенных в анализе. Эти риски в последствии могут перейти на новый уровень в течение переоценки, например, в результате изменения вероятности угрозы и/или влияния. Поэтому важно, чтобы идентифицированные риски не были потеряны.
Модель управления рисками mof
[3] Promotion.
[4] Reliability.
[5] Resilience - устойчивость: способность сервиса сохранять доступность при сбое одного или нескольких ИТ-компонент. - Прим. ред.
[6] Maintainability.
[7] Recoverability.
[8] Availability Plan.
[9] Sinsle points of failures - SPOF.
[10] Component Failure Impact Analysis — CFIA.
[11] CCTA Risk Analysis and Management - CRAMM
[12] Component Failure Impact Analysis — CFIA.
[13] Recoverability
[14] Serviceability.
[15] Availability plan.
[16] Availability Management Database — AMDB
[17] Fault Tree Analysis- FTA.
[18] ССТА Risk Analysis and Management Method - CRAMM.
[19] System Outage Analysis — SOA.
[20] Technical Observation Post - TOR
О сайте
Экономика защиты информации дисциплина рассматривает экономические проблемы защиты информационных ресурсов и поддерживающей их инфраструктуры. Сформируем подходы к определению затрат на защиту информации, к оценке эффективности системы защиты и страхования информации.
Для многих коммерческих организаций важно обосновать вложения в ИБ. Каждый из Вас попадал в ситуацию, когда при выделении бюджета отделу ИБ руководитель просил обосновать вкладываемые средства. Сразу возникают вопросы – что я буду иметь с этого? Какова будет отдача? Сколько я получу с этого? Когда вернутся вложенные инвестиции? И т.д. В рамках этого курса мы научимся отвечать на данные вопросы.
Оценивать эффективность СЗИ мы будем через понятие риска ИБ – возможных потерь организации от реализации определенных угроз.
Не следует считать (как считают некоторые), что ИБ – это всегда убыточная область. Вкладывая деньги в ИБ, мы уменьшаем риски организации, возможный ущерб, который она понесет, а это приносит определенный доход организации.
С этими вопросами мы и познакомимся в рамках данного курса.
Учебники
Извините ещё литературы и книг здесь нет, в ближайшее время они будут, вы можете прислать мне на email учебники в электронном формате и после проверки, она здесь обязательно появится.
