Оценка безопасности информационных технологий (Оценка безопасности ИТ) — это специальное исследование для выявления уязвимостей и рисков в области безопасности ИТ .
При оценке оценщик должен иметь полное сотрудничество с оцениваемой организацией. Организация предоставляет доступ к своим объектам, обеспечивает доступ к сети , излагает подробную информацию о сети и т. д. Все стороны понимают, что цель состоит в изучении безопасности и выявлении улучшений для защиты систем. Оценка безопасности потенциально является наиболее полезной из всех проверок безопасности .
Цель оценки безопасности (также известной как аудит безопасности, проверка безопасности или оценка сети [1] ) состоит в том, чтобы гарантировать, что необходимые меры безопасности интегрированы в разработку и реализацию проекта. Надлежащим образом проведенная оценка безопасности должна предоставить документацию с изложением любых пробелов в безопасности между дизайном проекта и утвержденными корпоративными политиками безопасности. Руководство может устранять пробелы в безопасности тремя способами: руководство может принять решение об отмене проекта, выделить необходимые ресурсы для исправления пробелов в безопасности или принять риск на основе обоснованного анализа риска/вознаграждения.
В качестве эффективного средства проведения оценки безопасности предлагается следующая схема методологии.
Оценки рисков ИТ-безопасности, как и многие оценки рисков в ИТ, на самом деле не являются количественными и не представляют риск каким-либо актуарно обоснованным образом. Количественное измерение риска может оказать существенное влияние на определение приоритетов рисков и получение одобрения инвестиций. [2]
Количественный анализ рисков был применен к ИТ-безопасности в крупном исследовании, проведенном правительством США в 2000 году. Федеральный совет ИТ-директоров заказал Департаменту по делам ветеранов исследование инвестиций в ИТ-безопасность на сумму 100 миллионов долларов, результаты которого были представлены в количественном выражении. [1] Департамент по делам ветеранов США.