ИТ-архитектура. Практическое руководство от А до Я. Первое издание. Вадим Алджанов

Читать онлайн книгу.

ИТ-архитектура. Практическое руководство от А до Я. Первое издание - Вадим Алджанов


Скачать книгу
анализ информационной инфраструктуры организации

      Разработка тактики обеспечения безопасности и формирование стратегии. Состоит из следующих действий:

      •Документирование текущего состояния

      •Выбор подходов по сокращению рисков

      •Выбор подходов по сокращению расходов

      •Указывают изменения, необходимые для внесения в текущую организацию

      •Выявляют перспективные направления работ по обеспечению информационной безопасности

      Матричный Метод Анализа

      Метод связывает активы, уязвимости и средства управления и определяет важность различных средств управления различным активам организации. Методология включает в себя три различных матрицы, связанные между собой:

      Матрица угроз – содержит в себе отношения между уязвимостями и угрозами.

      Матрица уязвимостей – содержит связь между активами и уязвимостями.

      Матрица контролей – содержит связи между угрозами и средствами управления.

      Значение в каждой ячейке матрицы показывает ценность отношения между элементом строки и столбца. Используется следующая система оценок:

      1 – низкая,

      2 – средняя

      3 – высокая.

      В процессе первоначального анализа формируются списки активов, уязвимостей, угроз и средств управления. Матрицы заполняются путем добавления данных о связи элемента столбца матрицы с элементом строки.

      Матрица угроз

      Матрица уязвимостей

      Матрица контролей

      Затем данные из матрицы уязвимостей переносятся в матрицу угроз. Дальше по такому же принципу данные из матрицы угроз заносятся в матрицу контроля.

      Одно из преимуществ данной методики является ее универсальность

      Формулы расчетов

      Иерархическая структура рисков (Risk Breakdown Structure, RBS)

      Иерархическая структура рисков (Risk Breakdown Structure, RBS) – Иерархически организованное представление известных рисков проекта, распределенных по категориям и подкатегориям риска, указывающим различные области и причины возможных рисков. Иерархическая структура рисков часто подгоняется под конкретные типы проектов.

      Методы расчета рисков

      В качестве оценки рисков можно использовать как количественный, так и качественный метод оценки. Для количественного метода оценки рисков и угроз используются следующие показатели:

      SLE (Single Loss Expectancy) = Asset Value x EF (Exposure Factor)

      ALE (Annualized Loss Expectancy) = SLE x ARO (Annualized Rate of Occurrence)

      Total Risk = Threats x Vulnerabilities x Asset Value

      ACV (Actual Cost Evaluation)

      Asset Value (AV) – Стоимость ресурса, отражает ценность ресурса. При качественном анализе можно использовать фиксированные величины (1 – низкая стоимость, 2- средняя и 3 – высокая стоимость). Например, сервер активного каталога будет иметь показатель AV=3, а рабочая станция AV=1.

      Exposure Factor (EF) – Степень защищенности ресурса. Демонстрирует насколько данный ресурс подвержен


Скачать книгу