คอมพิวเตอร์ Windows อินเทอร์เน็ต
ขยาย
บ้าน

วิธีการและผลิตภัณฑ์ซอฟต์แวร์สำหรับการประเมินความเสี่ยง Riscis Watch โปรแกรมประเมินความเสี่ยง ซอฟต์แวร์การจัดการความเสี่ยง

เราได้อธิบายและศึกษาแนวทางที่เป็นระบบในกระบวนการบริหารความเสี่ยง ความซับซ้อนของการพิจารณาปัญหานี้เกิดจากการที่เราตัดสินใจว่าไม่สมเหตุสมผลที่จะพิจารณาแต่ละกิจกรรมของโดเมนนี้ เพื่อสร้างระบบการวิเคราะห์และการจัดการความเสี่ยงคุณภาพสูง เฉพาะในกรณีที่ใช้การจัดการความเสี่ยงในทุกขั้นตอนอย่างเต็มที่เท่านั้น เราจึงจะพูดถึงระบบที่รับประกันความสำเร็จของเป้าหมายที่ตั้งไว้ได้

โปรแกรมที่ซับซ้อนที่เราตั้งเป้าหมายในการเริ่มอภิปรายในวันนี้นั้นขึ้นอยู่กับสิ่งประดิษฐ์ (กระบวนการและวัตถุ) ที่เราอธิบายไว้ก่อนหน้านี้

ในศูนย์กลางคือ:

  • ขั้นตอนการวางแผนสำหรับกิจกรรมการจัดการความเสี่ยงที่ซับซ้อน
  • วิธีการและเครื่องมือการบริหารความเสี่ยงที่เชื่อมต่อถึงกันในลักษณะที่เสริมและ "เติมเต็ม" ซึ่งกันและกันในระหว่างการดำเนินการตามโปรแกรมภายใต้การพิจารณา

ดังนั้นวันนี้เราจะมี "การแช่" เพิ่มเติมในกิจกรรมการวิเคราะห์และการจัดการความเสี่ยง ดังนั้นเรามากลั้นหายใจ ...

บทนำ

จนถึงปัจจุบัน เราได้อธิบายกิจกรรมการระบุ การประเมิน การวิเคราะห์ประเภทของความเสี่ยง (เชิงคุณภาพและเชิงปริมาณ) การจัดองค์กร และการบริหารความเสี่ยงในลักษณะเบื้องต้น ความเกี่ยวข้องและความจำเป็นในการจัดกระบวนการวิเคราะห์และการจัดการความเสี่ยงให้เป็นโปรแกรมเดียวที่ครอบคลุมและประสานแต่ละส่วนเข้าไว้ในระบบบริหารจัดการและซอฟต์แวร์แห่งเดียว เราได้สรุปและยืนยันในเอกสารที่นำเสนอก่อนหน้านี้

วันนี้เราจะพิจารณาส่วนของวินัยการบริหารความเสี่ยง - "โปรแกรมการจัดการความเสี่ยงที่ครอบคลุม" ซึ่งแก้ปัญหาการเพิ่มประสิทธิภาพของขั้นตอนที่จัดไว้แล้วการแนะนำใหม่นวัตกรรมและในเวลาเดียวกัน วิธีที่มีประสิทธิภาพและช่างเทคนิค ลดความสูญเสียที่เห็นได้ชัดและอาจเกิดขึ้น และเพิ่มผลกระทบของกิจกรรมหลักของบริษัท

เป็นที่น่าสังเกตว่าโปรแกรมการจัดการความเสี่ยงแบบครอบคลุมเป็นหนึ่งในตัวเลือกสำหรับกระบวนการบริหารความเสี่ยง การดำเนินการตามโปรแกรมที่ครอบคลุมนี้ถือได้ว่าเป็นทางเลือกแทนการดำเนินการบริหารความเสี่ยง ขั้นตอนที่กล่าวถึงก่อนหน้านี้แต่ละขั้นตอนของการวิเคราะห์ความเสี่ยงและกระบวนการจัดการแสดงถึงขั้นตอนที่สมบูรณ์ของกระบวนการดำเนินการบริหารความเสี่ยง และสามารถใช้เมื่อวางแผนกิจกรรมนี้ในองค์กรหนึ่งๆ โดยขึ้นอยู่กับการปรับให้เข้ากับเงื่อนไขบางประการของบริษัท

ผู้เชี่ยวชาญหลายคนกล่าวไว้ว่า วัตถุประสงค์ของแผนการบริหารความเสี่ยงควรจะบรรลุผลดังต่อไปนี้:

  • การใช้งานที่เหมาะสมที่สุดทุนที่มีอยู่;
  • รับรายได้สูงสุด
  • เพิ่มความยั่งยืนของการพัฒนาบริษัท
  • ลดโอกาสการสูญเสียบางส่วนหรือทั้งหมดของมูลค่าของผลิตภัณฑ์หรือบริการที่ได้รับจากกระบวนการของโดเมน เทคโนโลยีสารสนเทศ, เฉพาะองค์กร.

ดังนั้น โปรแกรมการจัดการความเสี่ยงที่ครอบคลุมจึงไม่ควรถูกพิจารณาว่าเป็นกระบวนการด้านไอทีเท่านั้น แต่ควรพิจารณาตามความหมายทั่วไปของกิจกรรมนี้ ในฐานะที่เป็นองค์ประกอบทางธุรกิจของหัวข้อการจัดการความเสี่ยงในองค์กรที่ถูกต้องซึ่งผลลัพธ์สุดท้ายและต่อไป ตำแหน่งขององค์กรในตลาดจะขึ้นอยู่กับ

โปรแกรมบริหารความเสี่ยง

โปรแกรมการจัดการความเสี่ยงที่ทันสมัยและครอบคลุมที่ประสบความสำเร็จจะต้องพิจารณาและแก้ปัญหาที่เกี่ยวข้องกับความต้องการในปัจจุบันของบริษัทในด้านการบริหารความเสี่ยง ซึ่งได้ตัดสินใจใช้กระบวนการวิเคราะห์และการจัดการความเสี่ยง

โดยทั่วไป องค์กรบริหารความเสี่ยงจะมีวัตถุประสงค์ดังต่อไปนี้สำหรับโดเมนนี้:

  • การดำเนินงานที่ประสบความสำเร็จในสภาวะที่มีความเสี่ยง
  • การป้องกันจากปัจจัยเสี่ยงเชิงลบที่ขัดขวางการดำเนินการตามกลยุทธ์และยุทธวิธีของบริษัท
  • การนำการตัดสินใจของฝ่ายบริหารไปใช้อย่างสมเหตุสมผล โดยคำนึงถึงข้อมูลที่มีอยู่เกี่ยวกับความเสี่ยงที่เห็นได้ชัดและอาจเกิดขึ้น
  • การอนุรักษ์และพัฒนาเครื่องมือและเทคโนโลยีสารสนเทศที่มีอยู่
  • ลดความอ่อนไหวของบริษัทต่อความเสี่ยงและเพิ่มความเสถียรของเทคโนโลยีสารสนเทศในสภาพแวดล้อมที่มีความเสี่ยง

โปรแกรมการจัดการความเสี่ยงที่ครอบคลุมควรสร้างโครงสร้างที่เป็นหนึ่งเดียวสำหรับการจัดการกับความเสี่ยง ซึ่งอาจแตกต่างกันในตัวเลือกสำหรับการดำเนินการแต่ละขั้นตอน แต่ในขณะเดียวกัน ลำดับ (ให้ไว้ในหลักสูตร ในรูปแบบของลำดับการนำเสนอของ วัสดุ) และผลลัพธ์ (เอกสาร) ของแต่ละขั้นตอนจะต้องตรงกับสิ่งที่เราให้ไว้ในหลักสูตรของเรา:

  • การรวบรวมข้อมูลและข้อกำหนดความเสี่ยง:
    • รายการสาเหตุที่ชัดเจนและเป็นไปได้ที่อาจนำไปสู่ความเสี่ยง
  • การระบุความเสี่ยง:
    • ทะเบียนความเสี่ยง;
  • การประเมินความเสี่ยงเบื้องต้น:
    • การลงทะเบียนความเสี่ยงที่จัดลำดับความสำคัญ;
    • กลยุทธ์การบริหารความเสี่ยง
  • การวิเคราะห์ความเสี่ยงเชิงคุณภาพ:
    • เอกสารที่มีข้อมูลคุณภาพสูงเกี่ยวกับความเสี่ยงและวิธีจัดการกับความเสี่ยง (กลยุทธ์)
    • ข้อมูลความเสี่ยงที่สามารถใช้ในกิจกรรมการวิเคราะห์เชิงปริมาณ
    • ความรู้ / ฐานข้อมูลเกี่ยวกับความเสี่ยงที่ระบุก่อนหน้านี้พร้อมคำอธิบาย
  • การวิเคราะห์ความเสี่ยงเชิงปริมาณ:
    • เอกสารที่มีข้อมูลเชิงปริมาณเกี่ยวกับความเสี่ยงและวิธีจัดการกับความเสี่ยง (กลยุทธ์)
    • ข้อมูลทางสถิติที่สามารถนำมาใช้สำหรับการบัญชีความเสี่ยงเพิ่มเติมและการวางแผนวิธีการจัดการกับพวกเขา
  • ระบบวิเคราะห์ความเสี่ยง:
    • พัฒนาขั้นตอนและระเบียบข้อบังคับที่ควรรวบรวมและใช้เอกสารที่ได้รับก่อนหน้านี้เพื่อให้บรรลุตัวชี้วัดประสิทธิภาพของการบริหารความเสี่ยง
  • โปรแกรมการจัดการความเสี่ยงที่ครอบคลุม:
    • เอกสารที่มีข้อมูลเกี่ยวกับโปรแกรมการบริหารความเสี่ยงที่ครอบคลุม
    • แผนขั้นตอนการบริหารความเสี่ยง
  • กิจกรรมเพิ่มเติม:
    • แผนติดตามความเสี่ยง
    • แผนการปรับปรุงสำหรับการวิเคราะห์และการจัดการความเสี่ยง

ในเวลาเดียวกัน เอกสารที่อธิบายแต่ละฉบับจะต้องได้รับการปรับปรุงและติดตามในเวลาที่เหมาะสมในอนาคต เมื่อดำเนินกิจกรรมการบริหารความเสี่ยงในบริษัทใดบริษัทหนึ่ง โดยมีเป้าหมายในการสร้างโปรแกรมการจัดการความเสี่ยงที่ครอบคลุมอย่างมีประสิทธิภาพและการนำส่วนประกอบไปใช้อย่างเหมาะสม เป้าหมายนี้งานก็จะสามารถควบคุมความเสี่ยงได้ในทุกระดับองค์กรขององค์กรใดๆ

ผู้จัดการความเสี่ยงควรสามารถประเมินสถานการณ์โดยรอบและมีส่วนร่วมในการพัฒนาและดำเนินการตามเอกสาร ขั้นตอน กฎระเบียบที่อธิบายข้างต้น ซึ่งควรยึดตามหลักการดังต่อไปนี้จากด้านการวิเคราะห์ความเสี่ยงและกระบวนการจัดการ ซึ่งสรุปโดย เราก่อนหน้านี้:

  • วิธีการแบบบูรณาการตามกระบวนการเพื่อการวิเคราะห์ความเสี่ยงและกระบวนการจัดการ
  • การพิจารณาความเสี่ยงที่สำคัญที่สุด:
    • การสร้างทะเบียนความเสี่ยง อัปเดตการลงทะเบียนระหว่างกิจกรรมของกระบวนการวิเคราะห์และการจัดการความเสี่ยง
  • การระบุความเสี่ยง
  • การกำหนด "เจ้าของ" ความเสี่ยง
  • การใช้โครงสร้างบทบาทในกระบวนการบริหารความเสี่ยง
  • การใช้วิธีการ / กลุ่มของวิธีการบางอย่างเพื่อจัดการความเสี่ยงบางอย่าง
  • คำนิยาม ระดับที่รับได้ความเสี่ยง:
    • ควบคุมสถานะของความเสี่ยง

ก่อนหน้านี้เล็กน้อย เมื่อเราพูดถึงการสร้างความมั่นใจในกิจกรรมของการบริหารความเสี่ยง เราได้พูดถึงหัวข้อการสนับสนุนด้านเอกสารสำหรับงานด้านนี้ แต่ไม่ได้เปิดเผยรายละเอียดเพิ่มเติม ในส่วนที่เกี่ยวกับการพัฒนาขั้นตอนการบริหารความเสี่ยง เราจะให้ความสำคัญเป็นพิเศษกับประเด็นนี้

ในที่นี้ ฉันอยากจะบอกว่าเอกสารประกอบและการนำไปใช้เป็น "หลักชัย" ที่สำคัญมากในการพัฒนาโปรแกรมที่ครอบคลุม โดยไม่สนใจซึ่งอาจนำไปสู่ความจริงที่ว่าโปรแกรมที่พัฒนาแล้วจะเป็น "เหตุการณ์ขั้นตอนเดียว" การดำเนินการดังกล่าว "ความเสี่ยง" ยังคงอยู่ใน "หัว" ที่เฉพาะเจาะจง โปรแกรมที่ซับซ้อนจะ "เสร็จสิ้น" โดยมีการจากไปของกลุ่มผู้เชี่ยวชาญหลัก ซึ่งทำให้เกิดข้อสงสัยเกี่ยวกับแนวทางที่เป็นระบบสำหรับโดเมนที่พัฒนาแล้ว และแสดงให้เห็นถึงความไร้ประสิทธิผลของการดำเนินการดังกล่าว

ต้องบอกว่าโปรแกรมการบริหารความเสี่ยงที่ครอบคลุมควรประกอบด้วยกระบวนการ ขั้นตอน กิจกรรม ฯลฯ ผลลัพธ์ของแต่ละขั้นตอนที่รวมอยู่ในกิจกรรม "เหนือ" นี้ควรมีความกลมกลืนกันในลักษณะที่เชื่อมโยงระหว่างกิจกรรมแต่ละอย่างได้อย่างชัดเจน ผลลัพธ์สุดท้ายของขอบเขตความเสี่ยงและกิจกรรมขององค์กรโดยรวมขึ้นอยู่กับความสำเร็จ รอบคอบ รวมกับเป้าหมายทั่วไปของการจัดการความเสี่ยง การรวมส่วนต่างๆ เข้าด้วยกันเป็นภาพรวมทั้งหมด

การพัฒนาขั้นตอนการบริหารความเสี่ยง กฎเกณฑ์ทางธุรกิจ

กระบวนการที่ประกอบเป็นกระบวนการบริหารความเสี่ยงคือ "แม่แบบ" โซลูชัน ซึ่งมีวัตถุประสงค์เพื่อเสนอทางเลือกในการเลือกในสถานการณ์ใดสถานการณ์หนึ่ง ตัวเลือกสำหรับโซลูชันเฉพาะที่เหมาะสมกับการใช้ในสถานการณ์เสี่ยงบางอย่าง (รู้จักและไม่รู้จัก) พารามิเตอร์

ทางเลือกสำหรับกรณีการใช้งานเฉพาะจะขึ้นอยู่กับขอบเขตที่ขั้นตอนที่พัฒนาขึ้นโดยเฉพาะสำหรับการจัดการความเสี่ยง/กลุ่มความเสี่ยงนั้นถูกปรับให้เข้ากับความต้องการของสภาพแวดล้อมเฉพาะ (พารามิเตอร์ภายนอกและภายในของสถานการณ์) สอดคล้องกับเฉพาะ กระบวนการที่อาจแสดงความเสี่ยงได้ และจะมีผลสำหรับกรณีนี้

ในการพัฒนาขั้นตอน ขอแนะนำให้ใช้หลักการที่กำหนดไว้บนพื้นฐานของกิจกรรมของบริษัท หลักการเหล่านี้มักเรียกว่ากฎเกณฑ์ทางธุรกิจ ส่วนใหญ่เกิดขึ้นในกระบวนการของ "การตระหนักรู้" สมมุติฐานเหล่านั้นซึ่งเป็น "ตัวขับเคลื่อน" ของธุรกิจ สิ่งเหล่านี้ไม่ชัดเจนเสมอไป (ตามกฎแล้ว เพราะพวกเขาอยู่ใน "หัวหน้า" ของผู้มีส่วนได้ส่วนเสียจำนวนจำกัด) แต่พวกเขาเริ่มมีอยู่ตั้งแต่เริ่มกิจกรรมทางธุรกิจ ความมั่นคงของการพัฒนาสายธุรกิจหนึ่งหรือสายธุรกิจหนึ่งที่ใช้จะขึ้นอยู่กับขอบเขตที่พวกเขาสังเกตเห็น

กฎเกณฑ์ทางธุรกิจและการเปลี่ยนแปลงของการเปลี่ยนแปลงที่กำหนดแนวโน้มการพัฒนาระบบสารสนเทศและเป็นสิ่งที่ส่งผลต่อความมั่นคงของบริษัท ในกรณีนี้คือองค์ประกอบความเสี่ยง

ดังนั้น จากสิ่งที่ได้กล่าวมา ขอแนะนำให้สรุปว่ากฎเกณฑ์ทางธุรกิจเป็นหนึ่งในองค์ประกอบที่กำหนดปริมาณของ “ความเสี่ยง” ที่มีให้สำหรับการจัดการและการศึกษา

แต่ในชุมชนธุรกิจสมัยใหม่ กฎเกณฑ์ทางธุรกิจมักถูกละเลยและ "แทนที่" สำหรับสถานการณ์การพัฒนาที่เฉพาะเจาะจง ซึ่ง "รองรับ" การพัฒนาขั้นตอนการบริหารความเสี่ยง เป็นเรื่องที่ควรค่าแก่การชี้แจงข้อเท็จจริงที่ว่ากรณีการใช้งานเป็นทางเลือกเฉพาะสำหรับการนำความเสี่ยงไปใช้ และ "กฎเกณฑ์ทางธุรกิจ" เป็นหลักการสากล / "หลอก-สากล" ที่กำหนดกรณีการใช้งาน ดังนั้นจึงเป็นสิ่งสำคัญมากที่จะต้องคำนึงถึงกฎทางธุรกิจที่ควรจะเป็น ใช้ในการพัฒนาขั้นตอนการบริหารความเสี่ยง ... ในกรณีนี้ เราสามารถพูดคุยเกี่ยวกับการปกป้องธุรกิจจากความเสี่ยงได้อย่างน่าเชื่อถือ

องค์ประกอบของขั้นตอนการบริหารความเสี่ยงที่พัฒนาขึ้นนั้นพิจารณาจากหลายปัจจัย แต่พิจารณาจากองค์ประกอบหลัก 2 ส่วนที่กำหนดขั้นตอนการจัดการและการวิเคราะห์การบริหารความเสี่ยง:

  • สถานะ "ความเสี่ยง" ขององค์กรในปัจจุบัน
  • ต้องการ/และผู้มีส่วนได้ส่วนเสีย

เป็นความต้องการของผู้มีส่วนได้ส่วนเสียที่กำหนดว่าควรพัฒนาขั้นตอนเฉพาะด้วย "สารคดี" และการสนับสนุนประเภทอื่น ๆ อย่างไร ในบางกรณี ขั้นตอนการพัฒนาอาจรวมถึงกิจกรรมต่อไปนี้:

  • การพัฒนาข้อเสนอเกี่ยวกับขอบเขตความเสี่ยงสำหรับกลยุทธ์ / นโยบายขององค์กร
  • จัดทำเอกสารขั้นตอนการบริหารความเสี่ยงหลัก
  • การพัฒนาวิธีการประเมินความเสี่ยงบางประเภทและความเสี่ยงทั้งหมด
  • เป็นต้น

ขั้นตอนการจัดการความเสี่ยงที่ออกแบบและนำไปใช้อย่างเหมาะสมจะลด (หรือกำจัดทั้งหมด) ความเสียหายที่อาจเกิดขึ้น ซึ่งจะนำไปสู่ความมั่นคงและการพัฒนาของบริษัท

อีกครั้ง เราแสดงรายการชุดของเอกสารกำกับดูแลและระเบียบวิธีปฏิบัติที่ควรจัดเตรียมขั้นตอนการจัดการความเสี่ยงด้วยเครื่องมือและฐานทางกฎหมายที่จำเป็น:

  • นโยบายการบริหารความเสี่ยง
  • ระเบียบการบริหารความเสี่ยง
  • ขั้นตอนการบริหารความเสี่ยง
  • คำแนะนำตามระเบียบเกี่ยวกับคำอธิบายและการประเมินความเสี่ยง
  • แนวทางระเบียบวิธีในการประเมินผลกระทบของความเสี่ยงต่อการทำงานของกำหนดการ
  • แนวทางปฏิบัติสำหรับการสร้างตัวบ่งชี้ความเสี่ยง
  • คู่มือขั้นตอนการบริหารความเสี่ยง
  • คู่มือความเสี่ยงทั่วไป

เป็นผลให้ต้องบอกว่าไม่มีขั้นตอนการบริหารความเสี่ยงที่สามารถพัฒนาได้ในลักษณะที่จะเรียกร้องความเป็นสากลและการบังคับใช้อย่างครอบคลุม แต่ละขั้นตอนควรคำนึงถึงลักษณะเฉพาะของสถานการณ์เฉพาะและความเสี่ยงบางอย่าง ซึ่งวางแผนไว้ว่าจะจัดการโดยใช้ขั้นตอนการบริหารความเสี่ยง

วิธีการจัดการความเสี่ยง

ในบทความที่แล้ว เราได้พิจารณาสั้น ๆ เกี่ยวกับวิธีการจัดการความเสี่ยงที่หลากหลาย โดยแบ่งออกเป็นสี่ประเภทต่อไปนี้:

  • วิธีการหลีกเลี่ยงความเสี่ยง
  • วิธีการโลคัลไลซ์เซชั่นความเสี่ยง
  • วิธีการกระจายความเสี่ยง
  • วิธีการชดเชยความเสี่ยง

แต่ละวิธีที่อธิบายไว้นั้นมีความเฉพาะเจาะจง เฉพาะทางและ โซลูชั่นที่มีประสิทธิภาพสำหรับสถานการณ์ "เสี่ยง" ที่จำแนกในลักษณะใดวิธีหนึ่ง (ดูบทความเกี่ยวกับวิธีการวิเคราะห์ความเสี่ยงเชิงปริมาณและเชิงคุณภาพ) จากปัจจัยทั่วไปที่กำหนดโดยปัจจัยที่อาจก่อให้เกิดความเสียหายในภายหลัง

"ศิลปะ" ของการประมวลผลข้อมูลเบื้องต้นซึ่งเป็นไปได้ที่จะแยก "ธัญพืช" ที่จำเป็นของข้อมูลที่เป็นประโยชน์ ดูบทความเกี่ยวกับแนวทางที่เป็นระบบในกระบวนการจัดการความเสี่ยง แต่ความจำเป็นในการพิจารณาปัจจัยที่สำคัญที่สุดสำหรับการจำแนกประเภท ของปัจจัยเสี่ยงเป็นเงื่อนไขสำหรับการใช้วิธีการจัดการความเสี่ยงอย่างใดอย่างหนึ่งหรืออีกวิธีหนึ่งที่ประสบความสำเร็จ และดังนั้น ประสิทธิผลของระบบการจัดการความเสี่ยงโดยรวม

ตามที่ได้ให้เหตุผลไว้ก่อนหน้านี้ โดยคำนึงถึงความแปรปรวนขององค์ประกอบ "ความเสี่ยง" และการโยกย้ายที่เป็นไปได้ของกลุ่มความเสี่ยง/กลุ่มเสี่ยง ซึ่งทิศทางจะค่อนข้างยากที่จะคาดการณ์ ขึ้นอยู่กับตัวแปรจำนวนมาก:

  • "ภายใน" ที่เกี่ยวข้องกับสภาพแวดล้อมที่มีความเสี่ยง
  • “ภายนอก” ที่เกี่ยวข้องกับสภาพแวดล้อมที่มีความเสี่ยง
  • ความเสี่ยงอื่น ๆ ระดับปฏิสัมพันธ์ที่แตกต่างกันกับต้นฉบับ
  • ผลกระทบของการสำแดง "การเชื่อมต่อ" "การตัดการเชื่อมต่อ" ฯลฯ ความเสี่ยง

ดังนั้น ความสำคัญของการรวบรวมสถิติระบบเกี่ยวกับความเสี่ยงโดยเฉพาะจึงเป็นองค์ประกอบที่จำเป็นของการเลือกวิธีการจัดการกับความเสี่ยงที่ประสบความสำเร็จอย่างแน่นอน ซึ่งจะทำให้ระดับความเสี่ยงลดลงอย่างเป็นระบบ ในขณะเดียวกัน สถิติควรสะท้อนถึง "ภาพ" ของการพัฒนาความเสี่ยงที่ครอบคลุมและเพียงพอ

ในกรณีที่องค์กรที่ดำเนินการบริหารความเสี่ยงมีขนาดใหญ่เพียงพอและมีความเสถียรตามเงื่อนไขในการพัฒนา มีความเป็นไปได้ที่การตอบสนองทันทีที่จำเป็นต่อการเปลี่ยนแปลงจะถูกปฏิเสธ ตามกฎแล้วนี่เป็นเพราะแนวคิด "เฉื่อยเท็จ" ของการป้องกันความเสี่ยงที่ "เกิดขึ้นแบบไดนามิก" อย่างเพียงพอ ซึ่งสามารถนำไปสู่ผลกระทบที่คุกคามจากการแสดงความเสียหายที่ "ใกล้" และ "ในระยะไกล"

ควรสังเกตว่าในกรณีส่วนใหญ่

(ซึ่งโดยส่วนใหญ่แล้วจะคาดเดาได้ยากกว่า แต่มักจะอันตรายกว่าเนื่องจากพารามิเตอร์ที่ไม่ได้กำหนดเพิ่มเติม)

ในสถานการณ์เช่นนี้ ธุรกิจขนาดเล็กที่ไม่ได้รับความเสียหายจากระดับความมั่นคงที่ยอมรับได้ พยายามตอบสนองอย่างถูกต้องและยืดหยุ่นมากขึ้นต่อความเสี่ยงที่ไม่สามารถยอมรับได้ และหากจำเป็น ให้เปลี่ยนลำดับความสำคัญของกิจกรรมของตน ซึ่งแทบจะเป็นไปไม่ได้เลยสำหรับสื่อและ องค์กรขนาดใหญ่

สถานการณ์จริงซึ่งมีปัจจัยเสี่ยงที่หลากหลาย ควรคำนึงถึงปัจจัยที่สำคัญสำหรับสถานการณ์เหล่านั้น และเลือกวิธีการจัดการความเสี่ยงที่เหมาะสมที่สุด ทั้งนี้ขึ้นอยู่กับสิ่งนี้

เงื่อนไขเพิ่มเติมที่กำหนดข้อจำกัดในการเลือกวิธีการจัดการความเสี่ยงคือบุคคลของผู้จัดการ ซึ่งการตัดสินใจขึ้นอยู่กับวิธีการที่จะเลือกในที่สุด

เป็นสิ่งสำคัญที่ผู้มีอำนาจตัดสินใจสามารถมองภาพการทำงานได้อย่างครอบคลุมเพียงพอและตัดสินใจได้ดีที่สุดสำหรับเงื่อนไขเฉพาะ

ข้อสรุป

ดังนั้น ในบทความถัดไปซึ่งจะเป็นส่วนที่สองของหัวข้อที่กำลังพิจารณา เราจะเริ่มต้นด้วยรายละเอียดพร้อมตัวอย่างเชิงปฏิบัติที่เฉพาะเจาะจง พิจารณาการจำแนกประเภทวิธีการจัดการความเสี่ยง หัวข้อ "การสลายตัว" ของกระบวนการบำรุงรักษาและ การปรับปรุงโดเมนการจัดการความเสี่ยง เราจะพยายามเน้นรายละเอียดเกี่ยวกับกล่องเครื่องมือที่จำเป็นนี้

ในบันทึกที่ "น่าสนใจ" นี้ เรากำลังบอกลาคุณในวันนี้

ทั้งหมดที่ดีที่สุดแล้วพบกันเร็ว ๆ นี้เพื่อนร่วมงานที่รัก!

ต่อในหัวข้อการประเมินและการจัดการความเสี่ยง ความปลอดภัยของข้อมูลในบทความนี้ ผมอยากจะพูดถึงซอฟต์แวร์ที่สามารถใช้ในการประเมินความเสี่ยงได้ ทำไมคุณถึงต้องการสิ่งนี้เลย ซอฟต์แวร์? ความจริงก็คือทันทีที่คุณดำดิ่งลงไปในกระบวนการนี้ มันจะชัดเจนในทันทีว่าการดำเนินการประเมินมีความเกี่ยวข้องกับระบบเชิงผสมผสานที่ค่อนข้างซับซ้อน การรวมกันของสินทรัพย์ ช่องโหว่ ภัยคุกคาม มาตรการป้องกันต่างๆ ทำให้เกิดชุดค่าผสมที่เป็นไปได้หลายแสนรายการซึ่งอธิบายความเสี่ยง และที่นี่คุณไม่สามารถทำได้หากไม่มีวิธีการชั่วคราว สิ่งที่สามารถพบได้บนอินเทอร์เน็ต:


เทียบกับความเสี่ยง... ซอฟต์แวร์จากบริษัท Vigilant Software ของอังกฤษ ผลิตภัณฑ์นี้วางตลาดเป็นซอฟต์แวร์ประเมินความเสี่ยงเป็นหลักตามข้อกำหนดของ ISO 27001 และ BS7799-3 (ปัจจุบันคือ ISO27005) บนเว็บไซต์คุณสามารถดาวน์โหลดรุ่นทดลองได้ 15 วัน (ขนาด - 390 MB) สำหรับฉัน ระบบนี้ดูค่อนข้างจะดั้งเดิมและไม่เป็นมิตรกับผู้ใช้ที่ไม่ได้เตรียมตัวไว้เลย ตัวอย่างเช่น โปรแกรมมีรายการภัยคุกคาม ช่องโหว่ และมาตรการแก้ไขที่เป็นไปได้ค่อนข้างกว้างขวาง แต่ระบบไม่ได้กำหนดความสัมพันธ์ระหว่างกัน ผู้ใช้ทำด้วยตนเอง โดยทั่วไป ฉันจะให้คะแนนโปรแกรมสำหรับ 3-ku พวกเขาขอเงิน 1,700 ยูโรเพื่ออะไร! แปด-).

ปตท.พัฒนาโดย PTA Technologies . ผลิตภัณฑ์ที่น่าสนใจอย่างยิ่งในความคิดของฉัน ไม่ผูกติดอยู่กับมาตรฐานใดๆ และใช้กลไกสำหรับการประเมินความเสี่ยงเชิงปริมาณ (!) โดยวิธีการที่ฉันจะชี้ให้เห็นว่าเป็นข้อเสียของซอฟต์แวร์นี้ tk ประเด็นคือไม่ใช่ทุกสิ่งที่สามารถประมาณได้ด้วยความถูกต้องของเงินดอลลาร์ และไม่มีการประเมินความเป็นไปได้ในเชิงคุณภาพ ระบบยังจัดให้มีกลไกที่น่าสนใจสำหรับการประเมินประสิทธิผลของมาตรการรับมือที่เสนอ โดยพิจารณาจากความเป็นไปได้ เช่น เพื่อระบุว่าแผนที่ความเสี่ยงเปลี่ยนแปลงไปอย่างไรเมื่อเราเพิ่มหรือลบมาตรการรับมือบางอย่าง

เว็บไซต์ของผู้พัฒนาระบุว่าผลิตภัณฑ์ได้รับการชำระเงินแล้วและมีให้ดาวน์โหลดเพียงรุ่นทดลองใช้ 30 วันเท่านั้น ตัวผลิตภัณฑ์มีราคาเท่าไรและสามารถซื้อได้อย่างไร - ไม่มีข้อมูล (เห็นได้ชัดว่าวิธีการนี้เป็นรายบุคคล :))

RSA Archer... พัฒนาโดย Archer ซึ่งเพิ่งเป็นเจ้าของโดย RSA ยักษ์ โดยทั่วไปแล้ว Archer เป็นผู้เก็บเกี่ยว GRC ขนาดใหญ่ที่มีโมดูลต่างๆ มากมาย หนึ่งในนั้นให้การจัดการความเสี่ยง ไม่มีเวอร์ชันทดลองให้ดาวน์โหลด มีวิดีโอการนำเสนอบนเว็บไซต์ ราคา ของผลิตภัณฑ์นี้ยังไม่ได้ทำเครื่องหมาย แต่ฉันคิดว่ามันจะแพงรวมถึงทุกอย่างสำหรับ RSA :)

Modulo Risk Manager... พัฒนาโดยโมดูโล่ มีคำอธิบายฟังก์ชันการทำงานที่ค่อนข้างแย่บนเว็บไซต์เท่านั้น ไม่มีเวอร์ชันทดลอง ไม่มีคลิปวิดีโอที่มีรายละเอียด อย่างไรก็ตาม ผลิตภัณฑ์นี้ได้รับรางวัล SC Magazine ซึ่งหมายความว่ายังมีบางสิ่งที่คุ้มค่า น่าเสียดายที่ฉันยังไม่รู้จักมันเลย


อาร์เอ็ม สตูดิโอผลิตภัณฑ์ขององค์กรที่มีชื่อเดียวกัน (เว็บไซต์) NSมีให้ดาวน์โหลดช่วงทดลองใช้ 30 วัน นอกจากนี้ คุณยังสามารถดูวิดีโอสาธิตการใช้งานผลิตภัณฑ์บนเว็บไซต์ได้ ในความเห็นของฉัน ซอฟต์แวร์นี้มีพื้นฐานเกินไปในแง่ของการประเมินความเสี่ยง และเหมาะสำหรับผู้ที่ทำการประเมินความเสี่ยง "เพื่อการแสดง" เท่านั้น


อีแร้ง... พัฒนาโดย Digital Security ฉันนำผลิตภัณฑ์ซอฟต์แวร์นี้มาเพื่อภาพทั่วไป ตัวผลิตภัณฑ์เองไม่ได้รับการสนับสนุนจากนักพัฒนาซอฟต์แวร์มาหลายปีแล้ว ดังนั้นเราจึงสามารถพูดได้ว่ามันไม่มีอยู่จริงอีกต่อไป จนถึงตอนนี้ นี่เป็นการพัฒนาภายในประเทศเพียงแห่งเดียวในพื้นที่นี้ที่ฉันรู้จัก

บอกตรงๆ ว่าไม่เยอะ ฉันเข้าใจว่าการตรวจทานของฉันไม่สามารถอ้างว่าสมบูรณ์ 100% แต่ยัง ....

หากมีคนอื่นรู้จักซอฟต์แวร์อื่นหรือวิธีอื่นๆ ในการประเมินความเสี่ยงโดยอัตโนมัติ โปรดเขียนความคิดเห็น เราจะหารือกัน

อัพเดทสำคัญ! ISM SYSTEMS ประกาศการพัฒนาเครื่องมือสำหรับการประเมินความเสี่ยงแบบอัตโนมัติ - ISM Revision: Risk Manager ดูข้อมูลเบื้องต้นได้ที่นี่ - http://www.ismsys.ru/?page_id=73 ผลิตภัณฑ์ดูมีแนวโน้ม มากกว่า รีวิวอย่างละเอียดฉันจะทำมันในภายหลัง

ส่งงานที่ดีของคุณในฐานความรู้เป็นเรื่องง่าย ใช้แบบฟอร์มด้านล่าง

นักศึกษา นักศึกษาระดับบัณฑิตศึกษา นักวิทยาศาสตร์รุ่นเยาว์ที่ใช้ฐานความรู้ในการศึกษาและการทำงานจะขอบคุณอย่างยิ่ง

โพสต์เมื่อ http://www.allbest.ru/

สถาบันการศึกษาระดับมืออาชีพด้านงบประมาณของรัฐในภูมิภาค Rostov "วิทยาลัยการสื่อสารและสารสนเทศ Rostov-on-Don"

GBPOU RO "อาร์เคซี"

รายงานในหัวข้อ:

"วิธีการและผลิตภัณฑ์ซอฟต์แวร์สำหรับการประเมินความเสี่ยง Riscis Watch"

เสร็จสมบูรณ์โดยนักเรียน: Zheleznichenko Artem

กลุ่มหมายเลข IB-22

ครู:

Dmitry Timchenko

รอสตอฟ-ออน-ดอน

บทนำ

ทุกวันนี้ ไม่ต้องสงสัยเลยว่าจำเป็นต้องลงทุนในการรักษาความปลอดภัยของข้อมูลของธุรกิจขนาดใหญ่สมัยใหม่ คำถามหลักของธุรกิจสมัยใหม่คือจะประเมินการลงทุนด้านความปลอดภัยข้อมูลในระดับที่เพียงพออย่างไร ให้มั่นใจถึงประสิทธิภาพสูงสุดของการลงทุนในด้านนี้ ในการแก้ไขปัญหานี้ มีทางเดียวเท่านั้น - การใช้ระบบวิเคราะห์ความเสี่ยง ซึ่งช่วยให้ประเมินความเสี่ยงที่มีอยู่ในระบบและเลือกตัวเลือกการป้องกันที่เหมาะสมที่สุดในแง่ของประสิทธิภาพ (ตามอัตราส่วนความเสี่ยงที่มีอยู่ในระบบต่อ ต้นทุนการรักษาความปลอดภัยของข้อมูล)

ตามสถิติ อุปสรรคที่ใหญ่ที่สุดในการใช้มาตรการใดๆ เพื่อรับรองความปลอดภัยของข้อมูลในบริษัทคือเหตุผลสองประการ: ข้อจำกัดด้านงบประมาณและการขาดการสนับสนุนจากฝ่ายบริหาร

สาเหตุทั้งสองเกิดจากความเข้าใจผิดของฝ่ายบริหารเกี่ยวกับความรุนแรงของปัญหาและความยากลำบากสำหรับผู้จัดการฝ่ายไอทีในการให้เหตุผลว่าเหตุใดจึงจำเป็นต้องลงทุนในการรักษาความปลอดภัยของข้อมูล หลายๆ คนมักจะคิดว่าปัญหาหลักอยู่ที่ผู้จัดการและผู้บริหารด้านไอทีพูดใน ภาษาที่แตกต่างกัน- ด้านเทคนิคและการเงิน แต่ท้ายที่สุดแล้ว ผู้เชี่ยวชาญด้านไอทีเองก็มักจะพบว่าเป็นการยากที่จะประมาณว่าจะใช้จ่ายเงินไปเพื่ออะไร และต้องใช้เงินเท่าไหร่เพื่อรับรองความปลอดภัยที่มากขึ้นของระบบของบริษัท เพื่อไม่ให้ค่าใช้จ่ายเหล่านี้กลายเป็นเรื่องไร้สาระหรือ มากเกินไป.

หากผู้จัดการฝ่ายไอทีเข้าใจชัดเจนว่าบริษัทสามารถสูญเสียเงินได้เท่าใดในกรณีที่มีภัยคุกคาม สถานที่ใดในระบบที่เสี่ยงที่สุด มาตรการใดบ้างที่สามารถนำมาใช้เพื่อเพิ่มระดับความปลอดภัยและในขณะเดียวกันก็ไม่ต้องเสียเงินเพิ่ม และ ทั้งหมดนี้ได้รับการบันทึกไว้แล้ว การแก้ปัญหาคือการโน้มน้าวให้ฝ่ายบริหารให้ความสนใจและจัดสรรเงินทุนเพื่อความปลอดภัยของข้อมูลให้เป็นจริงมากขึ้น

เพื่อแก้ปัญหานี้ ได้มีการพัฒนาซอฟต์แวร์เชิงซ้อนสำหรับการวิเคราะห์และควบคุมความเสี่ยงด้านข้อมูล หนึ่งในระบบซอฟต์แวร์เหล่านี้คือ American RiskWatch (บริษัท RiskWatch)

1. ลักษณะของ RiskWatch

วิธี RiskWath ที่พัฒนาขึ้นโดยมีส่วนร่วมของสถาบันมาตรฐานและเทคโนโลยีแห่งสหรัฐอเมริกา (US NIST) กระทรวงกลาโหมสหรัฐ (US DoD) กระทรวงกลาโหมแคนาดา ฝ่ายป้องกันประเทศแคนาดาแห่งชาติในปี 2541 เป็นมาตรฐานสำหรับองค์กรของรัฐบาลสหรัฐฯ ไม่เพียงแต่ในสหรัฐอเมริกาเท่านั้นแต่รวมถึงทั่วโลกด้วย

ซอฟต์แวร์ RiskWatch ที่พัฒนาโดยบริษัทอเมริกัน RiskWatch เป็นเครื่องมือวิเคราะห์และจัดการความเสี่ยงที่ทรงพลัง

RiskWatch นำเสนอโดยทั่วไปสองผลิตภัณฑ์: ผลิตภัณฑ์หนึ่งในด้านความปลอดภัยของข้อมูล _ IT Security ผลิตภัณฑ์ที่สองในด้านความปลอดภัยทางกายภาพ _ การรักษาความปลอดภัยทางกายภาพ ซอฟต์แวร์ได้รับการออกแบบมาเพื่อระบุและประเมินทรัพยากรที่ได้รับการป้องกัน ภัยคุกคาม จุดอ่อน และมาตรการป้องกันในด้านคอมพิวเตอร์และการรักษาความปลอดภัย "ทางกายภาพ" ขององค์กร นอกจากนี้สำหรับองค์กรประเภทต่าง ๆ ก็มีการนำเสนอ รุ่นต่างๆซอฟต์แวร์.

กลุ่มผลิตภัณฑ์ที่ออกแบบมาสำหรับการบริหารความเสี่ยงในระบบต่างๆ คำนึงถึงข้อกำหนดของมาตรฐานดังกล่าว (เอกสาร): ISO 17799, ISO 27001, COBIT 4.0, NIST 800-53, NIST 800-66 เป็นต้น

ตระกูล RiskWatch ประกอบด้วยผลิตภัณฑ์ซอฟต์แวร์สำหรับการตรวจสอบความปลอดภัยประเภทต่างๆ ประกอบด้วยเครื่องมือตรวจสอบและวิเคราะห์ความเสี่ยงดังต่อไปนี้:

1. RiskWatch for Physical Security - สำหรับวิธีการป้องกัน IP ทางกายภาพ

2. RiskWatch for Information Systems - สำหรับความเสี่ยงด้านข้อมูล

3. HIPAA-WATCH for Healthcare Industry - เพื่อประเมินการปฏิบัติตามข้อกำหนดของมาตรฐาน HIPAA

4. RiskWatch RW17799 สำหรับ ISO17799 - สำหรับการประเมินข้อกำหนดของมาตรฐาน ISO17799

2. ข้อดีและข้อเสียของ RiskWatch

ข้อได้เปรียบที่สำคัญของ RiskWatch จากมุมมองของผู้บริโภคคือความเรียบง่ายเชิงเปรียบเทียบ ความเข้มแรงงานต่ำของ Russification และความยืดหยุ่นสูงของวิธีการ โดยมีความเป็นไปได้ที่จะแนะนำหมวดหมู่ใหม่ คำอธิบาย คำถาม ฯลฯ บนพื้นฐานของวิธีนี้ นักพัฒนาในประเทศสามารถสร้างโปรไฟล์ของตนเองได้ โดยคำนึงถึงข้อกำหนดภายในประเทศในด้านความปลอดภัย พัฒนาวิธีการวิเคราะห์และการจัดการความเสี่ยงของแผนก

แม้จะมีข้อดี แต่ RiskWatch ก็มีข้อเสีย

วิธีนี้เหมาะสำหรับหากคุณต้องการวิเคราะห์ความเสี่ยงในระดับการป้องกันซอฟต์แวร์และฮาร์ดแวร์ โดยไม่คำนึงถึงปัจจัยขององค์กรและการบริหาร ผลลัพธ์ที่ได้จากการประเมินความเสี่ยง (การคาดการณ์ทางคณิตศาสตร์ของการสูญเสีย) ไม่ได้ทำให้ความเข้าใจในความเสี่ยงหมดไปจากมุมมองที่เป็นระบบ - วิธีการนี้ไม่ได้คำนึงถึงแนวทางบูรณาการในการรักษาความปลอดภัยข้อมูล

1. ซอฟต์แวร์ RiskWatch มีให้บริการเป็นภาษาอังกฤษเท่านั้น

2. ใบอนุญาตราคาสูง - จาก 15,000 ดอลลาร์ต่อที่นั่งสำหรับบริษัทขนาดเล็กและจาก 125,000 ดอลลาร์สำหรับใบอนุญาตองค์กร

3. วิธีการวิเคราะห์ความเสี่ยงที่รองรับ RiskWatch

RiskWatch ช่วยให้คุณวิเคราะห์ความเสี่ยงและตัดสินใจเลือกมาตรการและการเยียวยาอย่างชาญฉลาด เทคนิคที่ใช้ในโปรแกรมประกอบด้วย 4 ขั้นตอน:

จำเป็นต้องพิจารณารายละเอียดเพิ่มเติมในแต่ละขั้นตอนของวิธีการวิเคราะห์ความเสี่ยง

1. ในระยะแรกจะมีการอธิบายพารามิเตอร์ทั่วไปขององค์กร - ประเภทขององค์กร, องค์ประกอบของระบบที่อยู่ระหว่างการศึกษา, ข้อกำหนดพื้นฐานในด้านความปลอดภัย คำอธิบายถูกทำให้เป็นทางการในข้อย่อยหลายข้อที่สามารถเลือกเพิ่มเติมได้ คำอธิบายโดยละเอียดหรือข้าม

2. ขั้นตอนที่สองคือการป้อนข้อมูลที่อธิบายลักษณะเฉพาะของระบบ สามารถป้อนข้อมูลด้วยตนเองหรือนำเข้าจากรายงานที่สร้างโดยเครื่องมือวิจัยช่องโหว่ของเครือข่ายคอมพิวเตอร์ ในขั้นตอนนี้ ทรัพยากร ความสูญเสีย และคลาสเหตุการณ์มีรายละเอียด

3. ขั้นตอนที่สามคือการประเมินความเสี่ยง ขั้นแรก การเชื่อมโยงถูกสร้างขึ้นระหว่างทรัพยากร ความสูญเสีย ภัยคุกคาม และช่องโหว่ที่ระบุในขั้นตอนก่อนหน้า สำหรับความเสี่ยง การคาดการณ์ทางคณิตศาสตร์ของการสูญเสียสำหรับปีคำนวณโดยใช้สูตร:

โดยที่ p คือความถี่ของการเกิดภัยคุกคามในระหว่างปี v คือต้นทุนของทรัพยากรที่อยู่ภายใต้การคุกคาม

4. ขั้นตอนที่สี่คือการสร้างรายงาน ประเภทของรายงาน: สรุปแบบสั้น; รายงานที่สมบูรณ์และสรุปขององค์ประกอบที่อธิบายไว้ในขั้นตอนที่ 1 และ 2 รายงานต้นทุนของทรัพยากรที่ได้รับการคุ้มครองและความสูญเสียที่คาดหวังจากการดำเนินการคุกคาม รายงานภัยคุกคามและมาตรการรับมือ รายงานการตรวจสอบความปลอดภัย

บทสรุป

ซอฟต์แวร์รักษาความปลอดภัยข้อมูล

RiskWatch เป็นซอฟต์แวร์ที่พัฒนาโดยบริษัท RiskWatch ของสหรัฐอเมริกา

RiskWatch ช่วยให้คุณดำเนินการวิเคราะห์ความเสี่ยงและตัดสินใจเกี่ยวกับมาตรการและการเยียวยาอย่างเหมาะสม อย่างไรก็ตาม RiskWatch มีข้อเสียบางประการ: ใบอนุญาตมีค่าใช้จ่ายสูง ซอฟต์แวร์ RiskWatch มีให้บริการเป็นภาษาอังกฤษเท่านั้น

ผลิตภัณฑ์ RiskWatch อิงตามวิธีการวิเคราะห์ความเสี่ยงที่ประกอบด้วยสี่ขั้นตอน

ขั้นตอนแรกคือการกำหนดหัวข้อการวิจัย

ขั้นตอนที่สองคือการป้อนข้อมูลที่อธิบายลักษณะเฉพาะของระบบ

ขั้นตอนที่สามและสำคัญที่สุดคือการหาปริมาณ

ขั้นตอนที่สี่คือการสร้างรายงาน

โพสต์เมื่อ Allbest.ru

เอกสารที่คล้ายกัน

    วิธีการประเมินความเสี่ยงของข้อมูล ลักษณะและลักษณะเฉพาะ การประเมินข้อดีและข้อเสีย การพัฒนาวิธีการประเมินความเสี่ยงโดยใช้ตัวอย่างวิธีการของ Microsoft ซึ่งเป็นรูปแบบการประเมินความเสี่ยงเพื่อความปลอดภัยของข้อมูลองค์กร

    วิทยานิพนธ์, เพิ่ม 08/02/2012

    สาระสำคัญและวิธีการประเมินความปลอดภัยของข้อมูล วัตถุประสงค์ของการดำเนินการ วิธีการวิเคราะห์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ ตัวบ่งชี้และอัลกอริทึมสำหรับการคำนวณความเสี่ยงสำหรับภัยคุกคาม IS การคำนวณความเสี่ยงด้านข้อมูลในตัวอย่างเว็บเซิร์ฟเวอร์ของบริษัทการค้า

    ภาคเรียนที่เพิ่ม 11/25/2556

    สาระสำคัญของข้อมูลการจำแนกประเภท ปัญหาหลักของการสร้างความมั่นใจและภัยคุกคามต่อความปลอดภัยของข้อมูลขององค์กร การวิเคราะห์ความเสี่ยงและหลักการรักษาความปลอดภัยข้อมูลองค์กร การพัฒนาชุดมาตรการเพื่อความปลอดภัยของข้อมูล

    เพิ่มกระดาษภาคเรียน 05/17/2016

    การพัฒนาระบบข้อมูลอัจฉริยะที่เรียนรู้ด้วยตนเองเพื่อวิเคราะห์ความน่าเชื่อถือของผู้กู้และประเมินความเสี่ยงด้านเครดิตโดยใช้วิธีอิมมูโนคอมพิวติ้ง การประยุกต์ใช้ขั้นตอนการจัดกลุ่ม การจำแนกประเภท และการก่อตัวของการประเมินความเสี่ยง

    เพิ่มกระดาษภาคเรียนเมื่อ 06/09/2012

    ระเบียบวิธีวิจัยและวิเคราะห์เครื่องมือตรวจสอบ ระบบ Windowsเพื่อตรวจหาซอฟต์แวร์ที่ไม่ได้รับอนุญาตในการเข้าถึงทรัพยากรของคอมพิวเตอร์ การวิเคราะห์ภัยคุกคามความปลอดภัยของข้อมูล อัลกอริทึมของเครื่องมือซอฟต์แวร์

    วิทยานิพนธ์, เพิ่ม 06/28/2554

    ซอฟต์แวร์และ ข้อกำหนดทางเทคนิคระบบสารสนเทศขององค์กร ข้อกำหนดสำหรับข้อมูลและความเข้ากันได้ของซอฟต์แวร์ การออกแบบซอฟต์แวร์โดยใช้แพ็คเกจซอฟต์แวร์เฉพาะทาง การพัฒนาฐานข้อมูล

    รายงานการฝึกเพิ่ม 04/11/2019

    การจำแนกความเสี่ยงหลักการระบุ วางแผนและประเมินความเสี่ยงของระบบสารสนเทศในองค์กร ดำเนินมาตรการเพื่อขจัดความเสี่ยง การกำหนดจุดคุ้มทุนของโครงการ การคำนวณต้นทุนการสูญเสียและโอกาสในการเกิดความเสี่ยง

    งานห้องปฏิบัติการเพิ่ม 01/20/2016

    แนวคิดและความแตกต่างที่สำคัญของการพัฒนาซอฟต์แวร์แบบกระจาย ข้อดีและข้อเสีย แนวทางแก้ไขและการเลือกประเภทของการพัฒนา คุณสมบัติของซอฟต์แวร์โอเพ่นซอร์ส รหัสแหล่งที่มา... แนวคิดโอเพ่นซอร์สและการพัฒนา

    ภาคเรียนที่เพิ่ม 12/14/2012

    ระบบอัตโนมัติของกิจกรรมเพื่อวิเคราะห์กิจกรรมทางธุรกิจขององค์กร การดำเนินการตามวิธีการที่เสนอในรูปแบบของซอฟต์แวร์ ข้อกำหนดพื้นฐานสำหรับมัน โครงสร้างและองค์ประกอบของคอมเพล็กซ์ โมดูลซอฟต์แวร์, คู่มือผู้ใช้.

    เพิ่มกระดาษภาคเรียนเมื่อ 05/28/2013

    การวิเคราะห์ความเสี่ยงด้านความปลอดภัยของข้อมูล การประเมินการเยียวยาที่มีอยู่และตามแผน ชุดของมาตรการองค์กรเพื่อรับรองความปลอดภัยของข้อมูลและการปกป้องข้อมูลขององค์กร กรณีทดสอบการดำเนินโครงการและคำอธิบาย

ต่อในหัวข้อการประเมินและจัดการความเสี่ยงด้านความปลอดภัยของข้อมูลในโพสต์นี้ ฉันต้องการพูดคุยเกี่ยวกับซอฟต์แวร์ที่สามารถใช้ในการประเมินความเสี่ยงได้ ทำไมคุณถึงต้องการซอฟต์แวร์นี้เลย? ความจริงก็คือทันทีที่คุณดำดิ่งลงไปในกระบวนการนี้ มันจะชัดเจนในทันทีว่าการดำเนินการประเมินมีความเกี่ยวข้องกับระบบเชิงผสมผสานที่ค่อนข้างซับซ้อน การรวมกันของสินทรัพย์ ช่องโหว่ ภัยคุกคาม มาตรการป้องกันต่างๆ ทำให้เกิดชุดค่าผสมที่เป็นไปได้หลายแสนรายการซึ่งอธิบายความเสี่ยง และที่นี่คุณไม่สามารถทำได้หากไม่มีวิธีการชั่วคราว สิ่งที่สามารถพบได้บนอินเทอร์เน็ต:


เทียบกับความเสี่ยง... ซอฟต์แวร์จากบริษัท Vigilant Software ของอังกฤษ ผลิตภัณฑ์นี้วางตลาดเป็นซอฟต์แวร์ประเมินความเสี่ยงเป็นหลักตามข้อกำหนดของ ISO 27001 และ BS7799-3 (ปัจจุบันคือ ISO27005) บนเว็บไซต์คุณสามารถดาวน์โหลดรุ่นทดลองได้ 15 วัน (ขนาด - 390 MB) สำหรับฉัน ระบบนี้ดูค่อนข้างจะดั้งเดิมและไม่เป็นมิตรกับผู้ใช้ที่ไม่ได้เตรียมตัวไว้เลย ตัวอย่างเช่น โปรแกรมมีรายการภัยคุกคาม ช่องโหว่ และมาตรการแก้ไขที่เป็นไปได้ค่อนข้างกว้างขวาง แต่ระบบไม่ได้กำหนดความสัมพันธ์ระหว่างกัน ผู้ใช้ทำด้วยตนเอง โดยทั่วไป ฉันจะให้คะแนนโปรแกรมสำหรับ 3-ku พวกเขาขอเงิน 1,700 ยูโรเพื่ออะไร! แปด-).

ปตท.พัฒนาโดย PTA Technologies . ผลิตภัณฑ์ที่น่าสนใจอย่างยิ่งในความคิดของฉัน ไม่ผูกติดอยู่กับมาตรฐานใดๆ และใช้กลไกสำหรับการประเมินความเสี่ยงเชิงปริมาณ (!) โดยวิธีการที่ฉันจะชี้ให้เห็นว่าเป็นข้อเสียของซอฟต์แวร์นี้ tk ประเด็นคือไม่ใช่ทุกสิ่งที่สามารถประมาณได้ด้วยความถูกต้องของเงินดอลลาร์ และไม่มีการประเมินความเป็นไปได้ในเชิงคุณภาพ ระบบยังจัดให้มีกลไกที่น่าสนใจสำหรับการประเมินประสิทธิผลของมาตรการรับมือที่เสนอ โดยพิจารณาจากความเป็นไปได้ เช่น เพื่อระบุว่าแผนที่ความเสี่ยงเปลี่ยนแปลงไปอย่างไรเมื่อเราเพิ่มหรือลบมาตรการรับมือบางอย่าง

เว็บไซต์ของผู้พัฒนาระบุว่าผลิตภัณฑ์ได้รับการชำระเงินแล้วและมีให้ดาวน์โหลดเพียงรุ่นทดลองใช้ 30 วันเท่านั้น ตัวผลิตภัณฑ์มีราคาเท่าไรและสามารถซื้อได้อย่างไร - ไม่มีข้อมูล (เห็นได้ชัดว่าวิธีการนี้เป็นรายบุคคล :))

RSA Archer... พัฒนาโดย Archer ซึ่งเพิ่งเป็นเจ้าของโดย RSA ยักษ์ โดยทั่วไปแล้ว Archer เป็นผู้เก็บเกี่ยว GRC ขนาดใหญ่ที่มีโมดูลต่างๆ มากมาย หนึ่งในนั้นให้การจัดการความเสี่ยง ไม่มีเวอร์ชันทดลองให้ดาวน์โหลด มีวิดีโอการนำเสนอบนเว็บไซต์ ราคาของผลิตภัณฑ์นี้ไม่ได้ระบุเช่นกัน แต่ฉันคิดว่ามันจะแพงรวมถึงทุกอย่างสำหรับ RSA :)

Modulo Risk Manager... พัฒนาโดยโมดูโล่ มีคำอธิบายฟังก์ชันการทำงานที่ค่อนข้างแย่บนเว็บไซต์เท่านั้น ไม่มีเวอร์ชันทดลอง ไม่มีคลิปวิดีโอที่มีรายละเอียด อย่างไรก็ตาม ผลิตภัณฑ์นี้ได้รับรางวัล SC Magazine ซึ่งหมายความว่ายังมีบางสิ่งที่คุ้มค่า น่าเสียดายที่ฉันยังไม่รู้จักมันเลย


อาร์เอ็ม สตูดิโอผลิตภัณฑ์ขององค์กรที่มีชื่อเดียวกัน (เว็บไซต์) NSมีให้ดาวน์โหลดช่วงทดลองใช้ 30 วัน นอกจากนี้ คุณยังสามารถดูวิดีโอสาธิตการใช้งานผลิตภัณฑ์บนเว็บไซต์ได้ ในความเห็นของฉัน ซอฟต์แวร์นี้มีพื้นฐานเกินไปในแง่ของการประเมินความเสี่ยง และเหมาะสำหรับผู้ที่ทำการประเมินความเสี่ยง "เพื่อการแสดง" เท่านั้น


อีแร้ง... พัฒนาโดย Digital Security ฉันนำผลิตภัณฑ์ซอฟต์แวร์นี้มาเพื่อภาพทั่วไป ตัวผลิตภัณฑ์เองไม่ได้รับการสนับสนุนจากนักพัฒนาซอฟต์แวร์มาหลายปีแล้ว ดังนั้นเราจึงสามารถพูดได้ว่ามันไม่มีอยู่จริงอีกต่อไป จนถึงตอนนี้ นี่เป็นการพัฒนาภายในประเทศเพียงแห่งเดียวในพื้นที่นี้ที่ฉันรู้จัก

บอกตรงๆ ว่าไม่เยอะ ฉันเข้าใจว่าการตรวจทานของฉันไม่สามารถอ้างว่าสมบูรณ์ 100% แต่ยัง ....

หากมีคนอื่นรู้จักซอฟต์แวร์อื่นหรือวิธีอื่นๆ ในการประเมินความเสี่ยงโดยอัตโนมัติ โปรดเขียนความคิดเห็น เราจะหารือกัน

อัพเดทสำคัญ! ISM SYSTEMS ประกาศการพัฒนาเครื่องมือสำหรับการประเมินความเสี่ยงแบบอัตโนมัติ - ISM Revision: Risk Manager ดูข้อมูลเบื้องต้นได้ที่นี่ - http://www.ismsys.ru/?page_id=73 ผลิตภัณฑ์ดูมีแนวโน้ม ฉันจะทำการตรวจสอบรายละเอียดเพิ่มเติมในภายหลัง

ความจำเป็นในการลงทุนด้านความปลอดภัยของข้อมูล (IS) ของธุรกิจนั้นไม่ต้องสงสัยเลย เพื่อยืนยันความเกี่ยวข้องของงานรับรองความมั่นคงทางธุรกิจ เราจะใช้รายงานของ FBI ที่เผยแพร่โดยอิงจากการสำรวจของบริษัทอเมริกัน (ธุรกิจขนาดกลางและขนาดใหญ่) สถิติเหตุการณ์ด้านความปลอดภัยด้านไอทีเป็นสิ่งที่ไม่สามารถให้อภัยได้ จากข้อมูลของ FBI บริษัทที่สำรวจ 56% ถูกโจมตีในปีนี้ (ภาพที่ 1)

แต่จะประเมินระดับการลงทุนในความปลอดภัยของข้อมูลได้อย่างไร ซึ่งจะทำให้มั่นใจถึงประสิทธิภาพสูงสุดของกองทุนที่ลงทุนไป? ในการแก้ปัญหานี้ มีทางเดียวเท่านั้น คือ การใช้ระบบวิเคราะห์ความเสี่ยงที่ช่วยให้ประเมินความเสี่ยงที่มีอยู่ในระบบและเลือกตัวเลือกการป้องกันที่เหมาะสมที่สุดในแง่ของประสิทธิภาพ (ตามอัตราส่วนความเสี่ยงที่มีอยู่ในระบบต่อต้นทุน ความปลอดภัยของข้อมูล)

เหตุผลการลงทุน

ตามสถิติ อุปสรรคที่ร้ายแรงที่สุดในการดำเนินมาตรการใดๆ เพื่อรับรองความปลอดภัยของข้อมูลในบริษัทนั้นเกี่ยวข้องกับเหตุผลสองประการ: ข้อจำกัดด้านงบประมาณและการขาดการสนับสนุนจากฝ่ายบริหาร

เหตุผลทั้งสองนี้เกิดจากความเข้าใจผิดของฝ่ายบริหารเกี่ยวกับความรุนแรงของปัญหา และความไม่สามารถของผู้จัดการฝ่ายไอทีที่จะให้เหตุผลว่าเหตุใดจึงลงทุนในการรักษาความปลอดภัยของข้อมูล มักเชื่อว่าปัญหาหลักอยู่ที่ข้อเท็จจริงที่ว่าผู้จัดการและผู้บริหารไอทีพูดภาษาต่างกัน ทั้งด้านเทคนิคและการเงิน แต่ท้ายที่สุดแล้ว ผู้เชี่ยวชาญด้านไอทีเองมักพบว่าเป็นการยากที่จะประเมินว่าจะใช้จ่ายเงินไปเพื่ออะไร ที่จำเป็นในการปรับปรุงความปลอดภัยของระบบของบริษัทเพื่อให้ค่าใช้จ่ายเหล่านี้ไม่สูญเปล่าหรือมากเกินไป

หากผู้จัดการฝ่ายไอทีมีความคิดที่ชัดเจนว่าบริษัทจะสูญเสียเงินได้เท่าไรในกรณีที่เกิดภัยคุกคาม สถานที่ใดในระบบที่เสี่ยงที่สุด มาตรการใดบ้างที่สามารถนำมาใช้เพื่อเพิ่มระดับความปลอดภัยโดยไม่ต้องใช้เงินเพิ่ม และ ทั้งหมดนี้ได้รับการบันทึกไว้ จากนั้นงานการตัดสินใจของเขา - เพื่อโน้มน้าวให้ฝ่ายบริหารให้ความสนใจและจัดสรรเงินทุนเพื่อความปลอดภัยของข้อมูล - กลายเป็นจริงมากขึ้น

ในการแก้ปัญหาประเภทนี้ ได้มีการพัฒนาวิธีการพิเศษและระบบซอฟต์แวร์สำหรับการวิเคราะห์และควบคุมความเสี่ยงของข้อมูลโดยอิงจากปัญหาดังกล่าว เราจะพิจารณาระบบ CRAMM ของบริษัท Insight Consulting ของอังกฤษ (http://www.insight.co.uk) บริษัท American RiskWatch ที่มีชื่อเดียวกัน (http://www.riskwatch.com) และแพ็คเกจ Russian GRIF จาก Digital Security (http: // www .dsec.ru) ลักษณะเปรียบเทียบแสดงในตาราง

การวิเคราะห์เปรียบเทียบเครื่องมือวิเคราะห์ความเสี่ยง

เกณฑ์การเปรียบเทียบ CRAMM RiskWatch สำนักงานรักษาความปลอดภัยดิจิทัล GRIF 2005
สนับสนุน ให้ ให้ ให้
ใช้งานง่ายสำหรับผู้ใช้ ต้องมีการฝึกอบรมพิเศษและมีคุณสมบัติสูงของผู้ตรวจสอบบัญชี อินเทอร์เฟซมุ่งเป้าไปที่ผู้จัดการและผู้บริหารด้านไอที ไม่ต้องการความรู้พิเศษในด้านความปลอดภัยของข้อมูล
ค่าใบอนุญาตต่อหนึ่งสถานที่ทำงาน USD 2000 ถึง 5000 จาก 10,000 จาก 1,000
ความต้องการของระบบ

ระบบปฏิบัติการ Windows 98 / Me / NT / 2000 / XP
พื้นที่ว่างในดิสก์ 50 MB

ความต้องการขั้นต่ำ:
ความถี่โปรเซสเซอร์ 800 MHz หน่วยความจำ 64 MB

 Windows 2000 / XP
พื้นที่ว่างในดิสก์สำหรับการติดตั้ง 30 MB
โปรเซสเซอร์ Intel Pentium หรือที่เข้ากันได้ หน่วยความจำ 256 MB

Windows 2000 / XP

ความต้องการขั้นต่ำ:
พื้นที่ว่างในดิสก์ (สำหรับดิสก์ที่มีข้อมูลผู้ใช้) 300 MB, หน่วยความจำ 256 MB

ฟังก์ชั่น

ป้อนข้อมูล:

  • ทรัพยากร;
  • คุณค่าของทรัพยากร
  • ภัยคุกคาม;
  • ช่องโหว่ของระบบ
  • การเลือกมาตรการรับมือที่เพียงพอ

ตัวเลือกรายงาน:

  • รายงานการวิเคราะห์ความเสี่ยง
  • รายงานทั่วไปเกี่ยวกับการวิเคราะห์ความเสี่ยง
  • รายงานโดยละเอียดเกี่ยวกับการวิเคราะห์ความเสี่ยง

ป้อนข้อมูล:

  • ประเภทของระบบสารสนเทศ
  • ข้อกำหนดด้านความปลอดภัยขั้นพื้นฐาน
  • ทรัพยากร;
  • การสูญเสีย;
  • ภัยคุกคาม;
  • ช่องโหว่;
  • มาตรการป้องกัน
  • คุณค่าของทรัพยากร
  • ความถี่ของการเกิดภัยคุกคาม
  • การเลือกมาตรการรับมือ

ตัวเลือกรายงาน:

  • สรุปสั้น ๆ;
  • รายงานต้นทุนของทรัพยากรที่ได้รับการคุ้มครองและความสูญเสียที่คาดหวังจากการดำเนินการคุกคาม
  • รายงาน ROI

ป้อนข้อมูล:

  • ทรัพยากร;
  • ฮาร์ดแวร์เครือข่าย
  • ประเภทของข้อมูล
  • กลุ่มผู้ใช้
  • การเยียวยา;
  • ภัยคุกคาม;
  • ช่องโหว่;
  • การเลือกมาตรการรับมือ

องค์ประกอบของรายงาน:

  • สินค้าคงคลังของทรัพยากร
  • ความเสี่ยงตามประเภทของข้อมูล
  • ความเสี่ยงด้านทรัพยากร
  • อัตราส่วนความเสียหายและความเสี่ยงของข้อมูลและทรัพยากร
  • มาตรการรับมือที่เลือก
  • คำแนะนำจากผู้เชี่ยวชาญ
วิธีการเชิงปริมาณ / เชิงคุณภาพ การประเมินคุณภาพ ปริมาณ การประเมินคุณภาพและเชิงปริมาณ
โซลูชันเครือข่าย ไม่มา ไม่มา Enterprise Edition Digital Security Office 2005

CRAMM

วิธี CRAMM (CCTA Risk Analysis and Management Method) ได้รับการพัฒนาโดย Central Computer and Telecommunications Agency of Great Britain ตามคำแนะนำของรัฐบาลอังกฤษและได้รับการรับรองเป็นมาตรฐานของรัฐ ตั้งแต่ปี 1985 มีการใช้โดยรัฐบาลและองค์กรการค้าในสหราชอาณาจักร ในช่วงเวลานี้ CRAMM ได้รับความนิยมไปทั่วโลก Insight Consulting พัฒนาและดูแลผลิตภัณฑ์ซอฟต์แวร์ที่ใช้วิธี CRAMM

เราไม่ได้เลือกวิธี CRAMM (http://www.cramm.com) โดยไม่ได้ตั้งใจสำหรับการพิจารณาโดยละเอียดเพิ่มเติม ปัจจุบัน CRAMM เป็นเครื่องมือที่ค่อนข้างทรงพลังและใช้งานได้หลากหลาย ซึ่งช่วยให้นอกเหนือจากการวิเคราะห์ความเสี่ยงแล้ว ยังช่วยแก้ไขงานตรวจสอบอื่นๆ อีกจำนวนหนึ่ง ซึ่งรวมถึง:

  • การสำรวจ IS และการเปิดตัวเอกสารประกอบในทุกขั้นตอนของการดำเนินการ
  • การตรวจสอบตามข้อกำหนดของรัฐบาลอังกฤษ เช่นเดียวกับ BS 7799: 1995 Code of Practice for Information Security Management;
  • การพัฒนานโยบายความมั่นคงและแผนความต่อเนื่องทางธุรกิจ

วิธี CRAMM ขึ้นอยู่กับวิธีการแบบบูรณาการในการประเมินความเสี่ยง ซึ่งรวมวิธีการวิเคราะห์เชิงปริมาณและเชิงคุณภาพเข้าด้วยกัน วิธีการนี้เป็นสากลและเหมาะสำหรับทั้งองค์กรขนาดใหญ่และขนาดเล็กทั้งในภาครัฐและภาคการค้า เวอร์ชันซอฟต์แวร์ CRAMM สำหรับองค์กรประเภทต่างๆ แตกต่างกันในฐานความรู้ (โปรไฟล์): มีโปรไฟล์เชิงพาณิชย์สำหรับองค์กรเชิงพาณิชย์ และโปรไฟล์ Government สำหรับองค์กรภาครัฐ โปรไฟล์เวอร์ชันรัฐบาลยังช่วยให้สามารถตรวจสอบการปฏิบัติตามข้อกำหนดของ American standard ITSEC ("Orange Book") แผนภาพแนวคิดของการสำรวจ CRAMM แสดงในรูปที่ 2.

ด้วยการใช้วิธีการ CRAMM อย่างถูกต้อง เป็นไปได้ที่จะได้ผลลัพธ์ที่ดีมาก ซึ่งบางทีสิ่งที่สำคัญที่สุดคือความเป็นไปได้ของเหตุผลทางเศรษฐกิจที่สมเหตุสมผลของต้นทุนขององค์กรสำหรับการรับรองความปลอดภัยของข้อมูลและความต่อเนื่องทางธุรกิจ กลยุทธ์การจัดการความเสี่ยงที่คุ้มค่าทางเศรษฐกิจในท้ายที่สุดจะช่วยประหยัดเงินในขณะที่หลีกเลี่ยงค่าใช้จ่ายที่ไม่จำเป็น

CRAMM เกี่ยวข้องกับการแบ่งขั้นตอนทั้งหมดออกเป็นสามขั้นตอนตามลำดับ ภารกิจในขั้นแรกคือการตอบคำถาม: "เพียงพอหรือไม่ที่จะปกป้องระบบโดยใช้เครื่องมือระดับพื้นฐานที่ใช้ฟังก์ชันความปลอดภัยแบบเดิม หรือจำเป็นต้องทำการวิเคราะห์อย่างละเอียดมากขึ้น" ในขั้นตอนที่สอง ความเสี่ยงจะถูกระบุและประเมินขนาดของความเสี่ยง ในขั้นตอนที่สาม การตัดสินใจเลือกมาตรการรับมือที่เหมาะสม

ระเบียบวิธี CRAMM สำหรับแต่ละขั้นตอนจะกำหนดชุดข้อมูลเบื้องต้น ลำดับของกิจกรรม แบบสอบถามสำหรับการสัมภาษณ์ รายการตรวจสอบ และชุดเอกสารการรายงาน

ในขั้นตอนแรกของการศึกษา การระบุและการกำหนดมูลค่าของทรัพยากรที่ได้รับการคุ้มครองจะดำเนินการ การประเมินดำเนินการในระดับสิบจุด และอาจมีหลายเกณฑ์การประเมิน - ความสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง ฯลฯ คำอธิบาย CRAMM ให้ตัวอย่างของระดับการประเมินดังกล่าวตามเกณฑ์ "ความสูญเสียทางการเงินที่เกี่ยวข้องกับ การฟื้นฟูทรัพยากร":

  • 2 คะแนน - น้อยกว่า 1,000 ดอลลาร์;
  • 6 คะแนน - จาก $ 1,000 ถึง $ 10,000;
  • 8 คะแนน - จาก $ 10,000 ถึง $ 100,000;
  • 10 คะแนน - มากกว่า $ 100,000

ด้วยคะแนนต่ำสำหรับเกณฑ์ทั้งหมดที่ใช้ (3 คะแนนและต่ำกว่า) ถือว่าระดับการป้องกันขั้นพื้นฐานเพียงพอสำหรับระบบที่อยู่ระหว่างการพิจารณา (ระดับนี้ไม่ต้องการการประเมินโดยละเอียดของภัยคุกคามความปลอดภัยของข้อมูล) และครั้งที่สอง ข้ามขั้นตอนของการศึกษา

ในขั้นตอนที่สอง ภัยคุกคามในด้านความปลอดภัยของข้อมูลจะถูกระบุและประเมิน ดำเนินการค้นหาและประเมินช่องโหว่ของระบบที่ได้รับการป้องกัน ระดับภัยคุกคามได้รับการประเมินตามระดับต่อไปนี้: สูงมาก สูง ปานกลาง ต่ำ ต่ำมาก ช่องโหว่นี้จัดอยู่ในประเภทสูง ปานกลาง หรือต่ำ จากข้อมูลนี้ การประเมินระดับความเสี่ยงจะคำนวณในระดับเจ็ดจุด (รูปที่ 3)

ในขั้นตอนที่สาม CRAMM จะสร้างทางเลือกสำหรับมาตรการรับมือกับความเสี่ยงที่ระบุ ผลิตภัณฑ์มีคำแนะนำประเภทต่อไปนี้:

  • คำแนะนำทั่วไป
  • คำแนะนำเฉพาะ
  • ตัวอย่างวิธีที่คุณสามารถจัดระเบียบการป้องกันในสถานการณ์นี้

CRAMM มีฐานข้อมูลที่กว้างขวาง ซึ่งมีคำอธิบายเกี่ยวกับตัวอย่างการใช้งานระบบย่อยการรักษาความปลอดภัยประมาณ 1,000 ตัวอย่างสำหรับระบบคอมพิวเตอร์ต่างๆ คำอธิบายเหล่านี้สามารถใช้เป็นเทมเพลตได้

การตัดสินใจแนะนำกลไกความปลอดภัยใหม่เข้าสู่ระบบและแก้ไขกลไกเก่านั้นดำเนินการโดยฝ่ายบริหารขององค์กร โดยคำนึงถึงต้นทุนที่เกี่ยวข้อง การยอมรับ และประโยชน์สูงสุดต่อธุรกิจ งานของผู้ตรวจสอบบัญชีคือการพิสูจน์การกระทำที่แนะนำสำหรับการจัดการขององค์กร

หากมีการตัดสินใจที่จะแนะนำมาตรการรับมือใหม่และแก้ไขมาตรการเก่า ผู้ตรวจสอบอาจได้รับมอบหมายให้จัดเตรียมแผนการดำเนินงานและประเมินประสิทธิผลของการใช้มาตรการเหล่านี้ การแก้ปัญหาเหล่านี้อยู่นอกเหนือขอบเขตของวิธี CRAMM

ข้อเสียของวิธี CRAMM ได้แก่ :

  • วิธีการนี้ต้องมีการฝึกอบรมพิเศษและมีคุณสมบัติสูงของผู้ตรวจสอบบัญชี
  • การตรวจสอบโดยใช้วิธี CRAMM เป็นกระบวนการที่ค่อนข้างลำบากและอาจต้องใช้เวลาหลายเดือนในการทำงานของผู้ตรวจสอบอย่างต่อเนื่อง
  • CRAMM เหมาะสมกว่ามากสำหรับการตรวจสอบ IS ที่มีอยู่แล้ว นำไปใช้งาน มากกว่าสำหรับ IS ที่อยู่ระหว่างการพัฒนา
  • ชุดเครื่องมือซอฟต์แวร์ CRAMM สร้างเอกสารประกอบที่เป็นกระดาษจำนวนมาก ซึ่งไม่มีประโยชน์ในทางปฏิบัติเสมอไป
  • CRAMM ไม่อนุญาตให้คุณสร้างเทมเพลตรายงานของคุณเองหรือแก้ไขเทมเพลตที่มีอยู่
  • ผู้ใช้ไม่สามารถเพิ่มฐานความรู้ CRAMM ได้ ซึ่งทำให้เกิดปัญหาบางอย่างในการปรับวิธีนี้ให้เข้ากับความต้องการขององค์กรเฉพาะ
  • ซอฟต์แวร์ CRAMM ไม่ได้แปลเป็นภาษาท้องถิ่น มีเฉพาะในภาษาอังกฤษเท่านั้น
  • ค่าลิขสิทธิ์สูง - จาก $ 2,000 ถึง $ 5,000

RiskWatch

ซอฟต์แวร์ RiskWatch เป็นเครื่องมือวิเคราะห์และจัดการความเสี่ยงที่ทรงพลัง ตระกูล RiskWatch ประกอบด้วยผลิตภัณฑ์ซอฟต์แวร์สำหรับการตรวจสอบความปลอดภัยประเภทต่างๆ ประกอบด้วยเครื่องมือตรวจสอบและวิเคราะห์ความเสี่ยงดังต่อไปนี้:

  • RiskWatch for Physical Security - สำหรับวิธีการทางกายภาพของการป้องกัน IP;
  • RiskWatch for Information Systems - สำหรับความเสี่ยงด้านข้อมูล
  • HIPAA-WATCH for Healthcare Industry - เพื่อประเมินการปฏิบัติตามข้อกำหนดของมาตรฐาน HIPAA (US Healthcare Insurance Portability and Accountability Act)
  • RiskWatch RW17799 สำหรับ ISO 17799 - สำหรับการประเมินการปฏิบัติตาม ISO 17799

วิธี RiskWatch ใช้การทำนายการสูญเสียประจำปี (ALE) และผลตอบแทนจากการลงทุน (ROI) เป็นเกณฑ์ในการประเมินและจัดการความเสี่ยง

ผลิตภัณฑ์ซอฟต์แวร์ตระกูล RiskWatch มีประโยชน์มากมาย RiskWatch ช่วยให้คุณวิเคราะห์ความเสี่ยงและตัดสินใจเลือกมาตรการและการเยียวยาอย่างชาญฉลาด ตรงกันข้ามกับ CRAMM นั้น RiskWatch มุ่งเน้นที่การระบุอัตราส่วนของการสูญเสียจากภัยคุกคามด้านความปลอดภัยต่อต้นทุนในการสร้างระบบป้องกันได้อย่างแม่นยำมากขึ้น ควรสังเกตด้วยว่าในผลิตภัณฑ์นี้มีความเสี่ยงในด้านข้อมูลและความปลอดภัยทางกายภาพของเครือข่ายคอมพิวเตอร์ขององค์กรได้รับการพิจารณาร่วมกัน

ผลิตภัณฑ์ RiskWatch ใช้วิธีการวิเคราะห์ความเสี่ยง ซึ่งสามารถแบ่งออกเป็นสี่ขั้นตอน

ขั้นตอนแรกคือการกำหนดหัวข้อการวิจัย อธิบายพารามิเตอร์ต่างๆ เช่น ประเภทขององค์กร องค์ประกอบของระบบที่อยู่ระหว่างการศึกษา (โดยทั่วไป) ข้อกำหนดพื้นฐานในด้านความปลอดภัย เพื่ออำนวยความสะดวกให้กับงานของนักวิเคราะห์ในเทมเพลตที่สอดคล้องกับประเภทขององค์กร ("ระบบข้อมูลเชิงพาณิชย์", "ระบบข้อมูลของรัฐ / การทหาร" ฯลฯ ) มีรายการหมวดหมู่ของทรัพยากรที่ได้รับการคุ้มครอง ความสูญเสีย ภัยคุกคาม ช่องโหว่ และมาตรการป้องกัน คุณต้องเลือกสิ่งที่มีอยู่จริงในองค์กร

ตัวอย่างเช่น หมวดหมู่ต่อไปนี้มีไว้สำหรับการสูญเสีย:

  • ความล่าช้าและการปฏิเสธการให้บริการ
  • การเปิดเผยข้อมูล
  • การสูญเสียโดยตรง (เช่น จากการทำลายอุปกรณ์ด้วยไฟ)
  • ชีวิตและสุขภาพ (บุคลากร ลูกค้า ฯลฯ);
  • การเปลี่ยนแปลงข้อมูล
  • การสูญเสียทางอ้อม (เช่น ค่าใช้จ่ายในการฟื้นฟู)
  • ชื่อเสียง.

ขั้นตอนที่สองคือการป้อนข้อมูลที่อธิบายลักษณะเฉพาะของระบบ สามารถป้อนด้วยตนเองหรือนำเข้าจากรายงานที่สร้างโดยเครื่องมือวิจัยช่องโหว่ของเครือข่ายคอมพิวเตอร์

ในขั้นตอนนี้ ทรัพยากร ความสูญเสีย และคลาสเหตุการณ์มีรายละเอียด คลาสเหตุการณ์ได้มาจากการจับคู่ประเภทการสูญเสียและประเภททรัพยากร

เพื่อระบุช่องโหว่ที่เป็นไปได้ แบบสอบถามจะใช้ฐานข้อมูลซึ่งมีคำถามมากกว่า 600 ข้อ คำถามเกี่ยวข้องกับประเภททรัพยากร ความถี่ของการเกิดภัยคุกคามที่เลือก ระดับของช่องโหว่ และมูลค่าของทรัพยากรถูกกำหนดไว้ ทั้งหมดนี้ใช้เพื่อคำนวณผลกระทบของการแนะนำอุปกรณ์ป้องกันในอนาคต

ขั้นตอนที่สามและน่าจะเป็นขั้นตอนที่สำคัญที่สุดคือการประเมินเชิงปริมาณ ในขั้นตอนนี้ โปรไฟล์ความเสี่ยงจะถูกคำนวณและเลือกมาตรการความปลอดภัย ขั้นแรก การเชื่อมโยงถูกสร้างขึ้นระหว่างทรัพยากร ความสูญเสีย ภัยคุกคาม และช่องโหว่ที่ระบุในขั้นตอนก่อนหน้าของการศึกษา (อธิบายความเสี่ยงโดยการรวมกันของพารามิเตอร์สี่ตัวนี้)

อันที่จริง ความเสี่ยงนั้นประมาณการโดยใช้การคาดการณ์ทางคณิตศาสตร์ของการสูญเสียสำหรับปี ตัวอย่างเช่น หากต้นทุนของเซิร์ฟเวอร์อยู่ที่ 150,000 ดอลลาร์ และความน่าจะเป็นที่จะถูกทำลายด้วยไฟภายในหนึ่งปีคือ 0.01 การสูญเสียที่คาดหวังคือ 1,500 ดอลลาร์

สูตรที่รู้จักกันดี m = pxv โดยที่ m คือความคาดหวังทางคณิตศาสตร์ p คือความน่าจะเป็นของภัยคุกคาม v คือต้นทุนของทรัพยากร มีการเปลี่ยนแปลงบางอย่างเนื่องจาก RiskWatch ใช้การประมาณการที่กำหนดโดย American Institute of มาตรฐาน NIST เรียกว่า LAFE and SAFE LAFE (การประมาณความถี่ประจำปีในท้องถิ่น) แสดงจำนวนครั้งต่อปีโดยเฉลี่ย ที่ภัยคุกคามหนึ่งๆ เกิดขึ้นในสถานที่ที่กำหนด (เช่น ในเมือง) ปลอดภัย (ประมาณการความถี่ประจำปีแบบมาตรฐาน) แสดงจำนวนครั้งต่อปี โดยเฉลี่ย ภัยคุกคามหนึ่งๆ ที่เกิดขึ้นใน "ส่วนหนึ่งของโลก" นี้ (เช่น ในอเมริกาเหนือ) นอกจากนี้ยังมีการแนะนำปัจจัยการแก้ไข ซึ่งทำให้สามารถพิจารณาได้ว่าเมื่อภัยคุกคามเกิดขึ้น ทรัพยากรที่ได้รับการป้องกันอาจไม่ถูกทำลายอย่างสมบูรณ์ แต่เพียงบางส่วนเท่านั้น

นอกจากนี้ยังมีการพิจารณาสถานการณ์ "จะเกิดอะไรขึ้นถ้า ... " ซึ่งช่วยให้คุณสามารถอธิบายสถานการณ์ที่คล้ายคลึงกันได้ภายใต้การดำเนินการตามมาตรการป้องกัน โดยการเปรียบเทียบความสูญเสียที่คาดหวังกับและไม่มีมาตรการป้องกัน ทำให้สามารถประเมินผลกระทบของมาตรการดังกล่าวได้

RiskWatch รวมฐานข้อมูลที่มีการจัดเรต LAFE และ SAFE ตลอดจนคำอธิบายทั่วไป ประเภทต่างๆวิธีการป้องกัน

ตัวบ่งชี้ผลตอบแทนจากการลงทุน (ROI) ซึ่งแสดงผลตอบแทนจากการลงทุนที่เกิดขึ้นในช่วงระยะเวลาหนึ่ง เป็นตัววัดผลกระทบของการใช้มาตรการรักษาความปลอดภัย ตัวบ่งชี้นี้คำนวณโดยใช้สูตร:

โดยที่ Costsi คือค่าใช้จ่ายในการดำเนินการและบำรุงรักษามาตรการป้องกัน i-th ประโยชน์i - การประเมินผลประโยชน์ (คาดว่าจะลดการสูญเสีย) ที่การดำเนินการตามมาตรการป้องกันนี้นำมา; NVP (มูลค่าสุทธิปัจจุบัน) ปรับตามอัตราเงินเฟ้อ

ขั้นตอนที่สี่คือการสร้างรายงาน มีรายงานประเภทต่อไปนี้:

  • สรุปสั้น ๆ;
  • รายงานที่สมบูรณ์และสรุปขององค์ประกอบที่อธิบายไว้ในขั้นตอนที่ 1 และ 2
  • รายงานต้นทุนของทรัพยากรที่ได้รับการคุ้มครองและความสูญเสียที่คาดหวังจากการดำเนินการคุกคาม
  • รายงานภัยคุกคามและมาตรการรับมือ
  • รายงานผลตอบแทนการลงทุน;
  • รายงานการตรวจสอบความปลอดภัย

ตัวอย่างการคำนวณ ROI สำหรับมาตรการป้องกันต่างๆ แสดงในรูปที่ 5.

ดังนั้น RiskWatch ช่วยให้คุณประเมินไม่เพียงแต่ความเสี่ยงที่มีอยู่ในองค์กรเท่านั้น แต่ยังรวมถึงประโยชน์ที่จะได้รับจากการใช้งานทางกายภาพ ทางเทคนิค ซอฟต์แวร์ ตลอดจนวิธีการและกลไกการป้องกันอื่นๆ รายงานและกราฟที่จัดเตรียมมีเนื้อหาเพียงพอสำหรับการตัดสินใจเกี่ยวกับการเปลี่ยนแปลงระบบรักษาความปลอดภัยขององค์กร

สำหรับผู้ใช้ในประเทศ ปัญหาคือค่อนข้างมีปัญหาในการรับค่าประมาณที่ใช้ใน RiskWatch (เช่น LAFE และ SAFE) สำหรับเงื่อนไขของเรา แม้ว่าวิธีการนี้สามารถนำไปใช้ได้สำเร็จในประเทศของเรา

โดยสรุป เราทราบว่าเมื่อเลือกวิธีการเฉพาะสำหรับการวิเคราะห์ความเสี่ยงในองค์กรและเครื่องมือที่สนับสนุน เราควรตอบคำถาม: จำเป็นต้องมีการประเมินเชิงปริมาณที่แม่นยำเกี่ยวกับผลที่ตามมาของการดำเนินการคุกคามหรือไม่ การประเมินในระดับคุณภาพก็เพียงพอแล้ว นอกจากนี้ยังจำเป็นต้องคำนึงถึงปัจจัยต่อไปนี้: การปรากฏตัวของผู้เชี่ยวชาญที่สามารถประเมินปริมาณการสูญเสียจากภัยคุกคามความปลอดภัยของข้อมูลที่เชื่อถือได้และความพร้อมของสถิติเหตุการณ์ที่เชื่อถือได้ในด้านความปลอดภัยของข้อมูลในองค์กร .

ข้อเสียของ RiskWatch ได้แก่:

  • วิธีนี้เหมาะสมหากจำเป็นต้องทำการวิเคราะห์ความเสี่ยงในระดับการป้องกันซอฟต์แวร์และฮาร์ดแวร์ โดยไม่คำนึงถึงปัจจัยขององค์กรและการบริหาร
  • การประเมินความเสี่ยงที่ได้รับ (การคาดการณ์การสูญเสียทางคณิตศาสตร์) ไม่ได้ทำให้ความเข้าใจในความเสี่ยงหมดไปจากมุมมองของระบบ - วิธีการนี้ไม่ได้คำนึงถึงแนวทางบูรณาการในการรักษาความปลอดภัยข้อมูล
  • ซอฟต์แวร์ RiskWatch มีให้บริการเป็นภาษาอังกฤษเท่านั้น
  • ค่าลิขสิทธิ์สูง - จาก 10,000 ดอลลาร์ต่อที่นั่งสำหรับบริษัทขนาดเล็ก

คอ

GRIF เป็นระบบที่ครอบคลุมสำหรับการวิเคราะห์และจัดการความเสี่ยงของระบบข้อมูลของบริษัท GRIF 2005 จาก Digital Security Office (http://www.dsec.ru/products/grif/) ให้ภาพความปลอดภัยของแหล่งข้อมูลในระบบ และให้คุณเลือกกลยุทธ์ที่เหมาะสมที่สุดในการปกป้องข้อมูลองค์กร

ระบบ GRIF จะวิเคราะห์ระดับการปกป้องทรัพยากร ประเมินความเสียหายที่อาจเกิดขึ้นจากการนำภัยคุกคาม IS ไปใช้ และช่วยจัดการความเสี่ยงด้วยการเลือกมาตรการรับมือ

การวิเคราะห์ความเสี่ยงของ IS ดำเนินการในสองวิธี: การใช้แบบจำลองการไหลของข้อมูลหรือแบบจำลองของภัยคุกคามและช่องโหว่ ขึ้นอยู่กับข้อมูลเบื้องต้นที่ผู้ใช้มี และข้อมูลที่เขาสนใจในผลลัพธ์

แบบจำลองการไหลของข้อมูล

เมื่อทำงานกับแบบจำลองการไหลของข้อมูล ระบบจะแนะนำ ข้อมูลทั้งหมดเกี่ยวกับทรัพยากรทั้งหมดที่มีข้อมูลอันมีค่า ผู้ใช้ที่เข้าถึงทรัพยากร ประเภท และสิทธิ์การเข้าถึงเหล่านี้ ข้อมูลเกี่ยวกับวิธีการป้องกันทั้งหมดของแต่ละทรัพยากร การเชื่อมต่อเครือข่ายของทรัพยากร ลักษณะของนโยบายความปลอดภัยของบริษัทจะถูกบันทึกไว้ ผลที่ได้คือแบบจำลองที่สมบูรณ์ของระบบสารสนเทศ

ในขั้นตอนแรกของการทำงานกับโปรแกรม ผู้ใช้จะเข้าสู่อ็อบเจ็กต์ทั้งหมดของระบบข้อมูลของเขา: แผนก ทรัพยากร (อ็อบเจ็กต์เฉพาะของโมเดลนี้รวมถึงกลุ่มเครือข่าย อุปกรณ์เครือข่าย, ประเภทของข้อมูล กลุ่มผู้ใช้ กระบวนการทางธุรกิจ)

ถัดไป ผู้ใช้จำเป็นต้องกำหนดลิงก์ กล่าวคือ เพื่อกำหนดว่าแผนกและกลุ่มเครือข่ายใดที่เป็นของทรัพยากร ข้อมูลใดที่จัดเก็บไว้ในทรัพยากร และกลุ่มผู้ใช้ใดที่สามารถเข้าถึงได้ ผู้ใช้ยังระบุถึงวิธีการปกป้องทรัพยากรและข้อมูล

ในขั้นตอนสุดท้าย ผู้ใช้จะตอบคำถามเกี่ยวกับนโยบายความปลอดภัยที่ใช้ในระบบ ซึ่งช่วยให้ประเมินระดับความปลอดภัยของระบบที่แท้จริงและให้รายละเอียดการประเมินความเสี่ยง

ความพร้อมของเงินทุน การปกป้องข้อมูลสังเกตในระยะแรกในตัวเองยังไม่ได้ทำให้ระบบมีความปลอดภัยในกรณีที่ใช้งานไม่เพียงพอและไม่มีนโยบายความปลอดภัยที่ครอบคลุมที่คำนึงถึงการปกป้องข้อมูลทุกด้านรวมถึงการรักษาความปลอดภัยการรักษาความปลอดภัยทางกายภาพการรักษาความปลอดภัยบุคลากรธุรกิจ ความต่อเนื่อง เป็นต้น

อันเป็นผลมาจากการดำเนินการทั้งหมดในขั้นตอนเหล่านี้ แบบจำลองที่สมบูรณ์ของระบบข้อมูลจากมุมมองของความปลอดภัยของข้อมูลจะเกิดขึ้นที่เอาต์พุต โดยคำนึงถึงการปฏิบัติตามข้อกำหนดของนโยบายความปลอดภัยแบบรวมอย่างแท้จริง ซึ่งช่วยให้คุณ เพื่อไปที่ การวิเคราะห์เชิงโปรแกรมข้อมูลที่ป้อนเพื่อรับการประเมินความเสี่ยงที่ครอบคลุมและการสร้างรายงานขั้นสุดท้าย

แบบจำลองภัยคุกคามและช่องโหว่

การทำงานกับแบบจำลองการวิเคราะห์ภัยคุกคามและช่องโหว่นั้นเกี่ยวข้องกับการระบุช่องโหว่ของทรัพยากรแต่ละรายการด้วยข้อมูลที่มีค่าและภัยคุกคามที่เกี่ยวข้องซึ่งสามารถนำไปใช้ผ่านช่องโหว่เหล่านี้ ผลที่ได้คือภาพที่สมบูรณ์ของจุดอ่อนในระบบสารสนเทศและความเสียหายที่สามารถทำได้

ในขั้นตอนแรกของการทำงานกับผลิตภัณฑ์ ผู้ใช้จะเข้าสู่ระบบวัตถุของ IS ของเขา: แผนก ทรัพยากร (วัตถุเฉพาะสำหรับโมเดลนี้รวมถึงภัยคุกคามต่อระบบข้อมูลและช่องโหว่ที่มีการใช้ภัยคุกคาม)

GRIF 2005 ประกอบด้วยแค็ตตาล็อกภัยคุกคามและช่องโหว่ที่มีอยู่แล้วภายใน ซึ่งมีภัยคุกคามประมาณ 100 รายการและช่องโหว่ 200 รายการ เพื่อความสมบูรณ์และความเก่งกาจสูงสุดของแคตตาล็อกเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยดิจิทัลได้พัฒนาประเภทพิเศษของภัยคุกคาม DSECCT ซึ่งนำประสบการณ์จริงมาหลายปีในด้านความปลอดภัยของข้อมูล การใช้ไดเร็กทอรีเหล่านี้ ผู้ใช้สามารถเลือกภัยคุกคามและช่องโหว่ที่เกี่ยวข้องกับระบบข้อมูลของเขา

อัลกอริทึมของระบบ GRIF 2005 วิเคราะห์แบบจำลองที่สร้างขึ้นและสร้างรายงานที่มีค่าความเสี่ยงสำหรับแต่ละทรัพยากร การกำหนดค่าของรายงานสามารถทำได้เกือบทุกอย่าง ซึ่งช่วยให้คุณสามารถสร้างทั้งรายงานสรุปสำหรับการจัดการและรายงานโดยละเอียดสำหรับ ทำงานต่อไปกับผลลัพธ์ (รูปที่ 6)
ข้าว. 6. ตัวอย่างรายงานในระบบ GRIF 2005

ระบบ GRIF 2005 ประกอบด้วยโมดูลการจัดการความเสี่ยงที่ให้คุณวิเคราะห์สาเหตุทั้งหมดว่าหลังจากประมวลผลข้อมูลที่ป้อนโดยอัลกอริทึมแล้ว จะได้รับค่าความเสี่ยงนี้อย่างแน่นอน ดังนั้น เมื่อทราบเหตุผลแล้ว จึงเป็นไปได้ที่จะได้รับข้อมูลที่จำเป็นในการดำเนินมาตรการรับมือ และด้วยเหตุนี้ จึงช่วยลดระดับความเสี่ยงได้ หลังจากคำนวณประสิทธิผลของมาตรการรับมือแต่ละอย่างที่เป็นไปได้ ตลอดจนการกำหนดมูลค่าของความเสี่ยงที่เหลือ คุณสามารถเลือกมาตรการรับมือที่จะลดความเสี่ยงให้อยู่ในระดับที่ต้องการได้

จากการทำงานร่วมกับระบบ GRIF รายงานโดยละเอียดจะถูกสร้างขึ้นเกี่ยวกับระดับความเสี่ยงของทรัพยากรที่มีค่าแต่ละรายการของระบบข้อมูลของบริษัท เหตุผลทั้งหมดของความเสี่ยงจะแสดงด้วยการวิเคราะห์ช่องโหว่และการประเมินภาวะเศรษฐกิจโดยละเอียด ประสิทธิภาพของมาตรการรับมือที่เป็นไปได้ทั้งหมด

***

แนวปฏิบัติที่ดีที่สุดในโลกและมาตรฐานสากลชั้นนำในด้านความปลอดภัยของข้อมูล โดยเฉพาะ ISO 17799 จำเป็นต้องมีการนำระบบการวิเคราะห์และการจัดการความเสี่ยงไปใช้เพื่อการจัดการความปลอดภัยที่มีประสิทธิภาพของระบบข้อมูล ในกรณีนี้ คุณสามารถใช้เครื่องมือที่สะดวกใดๆ ก็ได้ แต่สิ่งสำคัญคือต้องเข้าใจให้ชัดเจนเสมอว่าระบบรักษาความปลอดภัยข้อมูลถูกสร้างขึ้นบนพื้นฐานของการวิเคราะห์ความเสี่ยงของข้อมูล ตรวจสอบและให้เหตุผล การวิเคราะห์และการจัดการความเสี่ยงด้านข้อมูลเป็นปัจจัยสำคัญในการสร้างการป้องกันระบบข้อมูลอย่างมีประสิทธิภาพ



ไม่พบคำตอบสำหรับคำถามของคุณ? ดูที่นี่
ข้อบกพร่องในภาวะเอกฐาน?ข้อบกพร่องในภาวะเอกฐาน?
Just Cause 2 ล่มJust Cause 2 ล่ม
Terraria ไม่เริ่มทำงาน ฉันควรทำอย่างไร?Terraria ไม่เริ่มทำงาน ฉันควรทำอย่างไร?