Нормативно-методическое обеспечение комплексной системы защиты информации на объекте защиты

На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Результаты анализа используются при выборе средств защиты, оценке эффективности существующих и проектируемых подсистем информационной безопасности, т. е. на этапе управления рисками. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на ИТ. Методология безопасности ИТ, определяемая данными стандартами, базируется на двух концепциях управления рисками – для базового уровня и для повышенных требований безопасности.
Минимальные требования безопасности (базовый уровень) обеспечиваются совокупностью проверенных практикой правил обеспечения ИБ на всех этапах жизненного цикла ИТ и соответствуют минимальным требованиям к режиму ИБ. Эти правила носят комплексный характер, т. е. охватывают административный, процедурный, программно-технический уровни и все этапы жизненного цикла ИТ. Обычной областью использования этого уровня являются типовые проектные решения.
Существует ряд стандартов и спецификаций, в которых рассматривается минимальный (типовой) набор наиболее вероятных угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д. Для нейтрализации этих угроз обязательно должны быть приняты контрмеры (которые также приводятся в этих документах (рисунок 1)) вне зависимости от вероятности их осуществления и уязвимости ресурсов. Основополагающими документами, определяющими концепцию управления рисками для базового уровня, являются международные стандарты менеджмента безопасности ISO 17799, ISO 27001.