Анализ степени риска

Первым этапом серьезного планирования мер восстановления в аварийных ситуациях является проведение анализа степени риска. Инвентеризация информационно-технологических ресурсов позволяет определить, что именно подлежит защите и какие участки следует укрепить. В этот анализ  входит оценка влияния аварийных ситуаций на ведение коммерции и составлении плана восстановления, в котором прогнозируется возможное отрицательное влияние аварийной ситуации на коммерческую деятельность, а также указаны меры как можно более скорого восстановления этой деятельности в сети. В план восстановления следует также включить общие организационные меры, принимаемые в кризисных ситуациях. В конечном счете должен быть сделан вывод о том, насколько без ущерба для прибыльности, репутации и жизнеспособности данного коммерческого предприятия может быть приостановлена электронная коммерческая деятельность.

Некоторые сведения об управлении рисками:

Управление рисками уже давно применяется в финансовой сфере. Банкиры пользуются методами управления рисками для определения кредитоспособности клиентов, просящих о ссудах на приобретенные дома или открытие собственного дела. Основным принципом, которым банк руководствуется, идя на риск, является гарантия того, что служащие банка, которые выдают ссуды не являются одновременно лицами, утверждающими кредит. Они получают соответствующее вознагрождение : те кто выдает ссуды за утверждение ссуд, а те, кто утверждает кредит за крупные ссуды.

Недооценка риска в любой сфере деятельности может принести ущерб. В частности, когда компания Victorias Secret планировала в 1999 году коммерческую рекламную  передачу в прямом эфире во время трансляции игр на кубок США по американскому футболу, сотрудники отдела информационных технологий этой компании не провели предварительный анализ степени риска в связи с организацией рекламной кампании в масштабном масштабе на ее web-серверах. В итоге информационные системы компании оказались перегружены, и она не только потеряла заказы, но и подпортила свою репутацию.

1. Определение подверженных риску областей. Так, в сети поставок, доступной для поставщиков необходимо проанализировать на уязвимость каждую точку входа, сервер и доступные приложения. После этого могут быть определены уровни риска, которые допустимы для данной организации в каждой определенной выше точке. В частности, может быть решен следующий вопрос: целесообразно ли предоставлять доступ всем или только избранным сотрудникам организации-поставщика к сети поставок.

2.  Количественное определение степени незащищенности системы. Например, к какому количеству портов может быть осуществлен удаленный доступ? Сколько внешних пользователей пускается для работы в системе? На каких уровнях может быть разрешен доступ к системе?

3. Ограничение факторов, приводящих к риску. Сокращение числа пользователей с правами доступа. Ограничение времени доступности системы.

4. Контроль рабочей среды. Создание и применение процедур контроля в отделе информационных технологий.

comments powered by HyperComments

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Смотрите похожие темы: