Turinys:
- Apibrėžimas - ką reiškia rizikos vertinimo sistema (RAF)?
- „Techopedia“ paaiškina rizikos vertinimo sistemą (RAF)
Apibrėžimas - ką reiškia rizikos vertinimo sistema (RAF)?
Rizikos vertinimo sistema (RAF) - tai metodas, pagal kurį nustatomi prioritetai ir dalijamasi informacija apie saugumo riziką, kylančią informacinių technologijų organizacijai. Informacija turėtų būti pateikiama taip, kad ją suprastų ir ne techniniai, ir techniniai grupės darbuotojai. RAF vaizdas padeda organizacijoms identifikuoti ir rasti mažos ir didelės rizikos sistemas, kurios gali būti pažeidžiamos ar puolamos.
„Techopedia“ paaiškina rizikos vertinimo sistemą (RAF)
Duomenys, kuriuos teikia RAF, yra naudingi siekiant pašalinti galimas grėsmes ir planuoti išlaidas bei biudžetą. Daugelis RAF jau priimami kaip standartai keliose pramonės šakose. Keletas pavyzdžių yra Kompiuterinių avarinių situacijų parengimo komandos atliktas operacinio kritinio pavojaus, turto ir pažeidžiamumo įvertinimas (OCTAVE), Informacijos ir susijusių technologijų kontrolės tikslai (COBIT) iš Informacinių sistemų audito ir kontrolės asociacijos ir Rizikos valdymo vadovas. Informacinių technologijų sistemos iš Nacionalinio standartų instituto.
Kaip ir kitose sistemose, yra ir RAF kūrimo gairių, kurių reikia laikytis:
- Inventorius ir klasifikavimas: suskirstykite informacines sistemas, vidines ar išorines, į kategorijas ir išskirkite jų procesus.
- Nustatykite galimą riziką: ieškokite grėsmių, pažeidžiamumų ir rizikos, su kuria gali susidurti sistema. Be kenkėjiškų programų atakų, turėtų būti atsižvelgiama ir į natūralius įvykius, tokius kaip katastrofos ar energijos tiekimas.
- Įdiekite ir įvertinkite: Remdamiesi diskusijomis apie galimą riziką, įgyvendinkite atitinkamą duomenų apsaugos saugumo kontrolę. Įvertinkite ir dokumentuokite išvadas, kaip veikia kontrolė ir kaip prisidedama prie rizikos mažinimo.
- Įgalioti ir prižiūrėti: Įgalioti sistemos operacijas, nustatydami tvarką, riziką organizacinėms operacijoms ir turtui, individualias stipriąsias ir silpnąsias puses bei kitus veiksnius, kurie prisidės prie operacijų gerovės. Saugumo kontrolės stebėjimas yra nuolatinis procesas, kuris apima saugumo kontrolės efektyvumo vertinimą, pakeitimų dokumentavimą, aptariamų sprendimų įgyvendinimą ir sistemos būklės pristatymą tinkamam organizaciniam personalui.
