Детальное рассмотрение процесса оценки рисков
Процесс оценки рисков можно подразделить на девять основных этапов:
- определение характеристик информационной системы;
- идентификация уязвимостей;
- идентификация угроз;
- анализ регуляторов безопасности;
- определение вероятностей;
- анализ воздействий;
- определение рисков;
- рекомендуемые контрмеры;
- результирующая документация.
Идентификация уязвимостей и угроз, а также анализ регуляторов безопасности и воздействий могут выполняться относительно независимо и параллельно после того, как завершен первый этап и определены характеристики информационной системы.
На показаны основные этапы процесса оценки рисков вместе с входной и выходной информацией для каждого из них.
Рисунок 1. Основные этапы процесса оценки рисков, их входная и выходная информация.
Опишем выделенные этапы более детально.
