Jump to content

МЕХАРИ

Edit links
Эта статья о методе риск-анализа. Чтобы узнать о других значениях, см. Мехари (значения) .

MEHARI ( MEthod для гармонизированного анализа . RI с sk) — это бесплатный метод оценки анализа информационных рисков и управления рисками открытым исходным кодом , предназначенный для использования профессионалами в области информационной безопасности

MEHARI позволяет бизнес-менеджерам, специалистам по информационной безопасности/управлению рисками и другим заинтересованным сторонам оценивать и управлять рисками организации, связанными с информацией, информационными системами и информационными процессами (не только ИТ). Он предназначен для согласования и поддержки управления рисками информационной безопасности в соответствии со стандартом ISO/IEC 27005 , особенно в контексте системы управления информационной безопасностью (ISMS), соответствующей стандарту ISO/IEC 27001 , или аналогичной всеобъемлющей структуры управления или управления безопасностью.

История

[ редактировать ]

MEHARI постоянно развивается с середины 1990-х годов для поддержки таких стандартов, как ISO/IEC 27001 , ISO/IEC 27002 , ISO/IEC 27005 и NIST SP 800-30. Текущая версия MEHARI Expert (2010) включает ссылки и поддержку СМИБ версии ISO 27001/27002:2013.

Описание

[ редактировать ]

MEHARI Expert (2010) сочетает в себе мощную и расширяемую базу знаний с гибким набором инструментов, поддерживающих следующие действия по анализу и управлению рисками информационной безопасности:

  • Анализ угроз: топ-менеджеры бизнеса описывают деятельность организации, перечисляют потенциальные проблемы или проблемы, которые могут отрицательно повлиять на эту деятельность, и определяют ценность последствий для бизнеса.
  • Бизнес-процессы анализируются далее, чтобы идентифицировать и составить карту связанных с ними организационных, человеческих и технических активов.
  • Активы классифицируются в соответствии с тремя классическими критериями безопасности (конфиденциальность, целостность, доступность), а также необходимостью соблюдения применимых законов и правил (например, для защиты личной информации или окружающей среды).
  • Рассматривается внутренняя вероятность/вероятность репрезентативных типов событий угроз.
  • Эти элементы автоматически объединяются для анализа и оценки серьезности рисков (на основе 800 «сценариев» в базе знаний), выделяя наиболее критические и серьезные из них в соответствии с прогнозируемыми последствиями для бизнеса.
  • Диагностические анкеты помогают пользователям оценить способность существующих мер/контролей информационной безопасности снижать риски.
  • Меры безопасности (организационные и технические) сгруппированы в услуги для обсуждения с соответствующими руководителями и специалистами.
  • Отображается текущий уровень серьезности каждого сценария риска с учетом эффективности существующих мер безопасности, что дает представление о текущем ландшафте рисков информационной безопасности и предлагает определить приоритетность корректирующих работ.
  • Планы действий и проекты безопасности могут быть выбраны для управления рисками, исходя из ожидаемой эффективности дополнительных мер безопасности и сроков их реализации. Предыдущий анализ позволяет руководству оценить бизнес-преимущества и, следовательно, обосновать соответствующие инвестиции в информационную безопасность: весь процесс ориентирован на бизнес.

Обширная база знаний MEHARI Expert (2010), созданная с использованием Excel, доступна как на английском, так и на французском языках в виде интерактивного инструмента или, точнее, набора инструментов, которые можно использовать индивидуально, но которые представляют собой единый пакет. По мере продвижения процесса база знаний автоматически расширяется за счет полученной информации, предоставляя исходные данные для последующих шагов. Последовательный анализ рисков и средств контроля позволяет крупным и разнородным организациям сравнивать и противопоставлять операционные подразделения на равной основе.

Дополнительные приложения и инструменты, основанные на тех же принципах, могут разрабатываться по лицензии Creative Commons.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=MEHARI&oldid=1109430110"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 3962f996fe793d4be7b348dbb323e23a__1662742260
URL1:https://arc.ask3.ru/arc/aa/39/3a/3962f996fe793d4be7b348dbb323e23a.html
Заголовок, (Title) документа по адресу, URL1:
MEHARI - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)