пятница, 25 февраля 2011 г.

Оценка рисков ИБ (методики, инструментарий)

Оценка рисков - это безусловно краеугольный камень эффективной и экономически оправданной безопасности. За последние годы было много рассказано про различные подходы к проведению оценки рисков, а сейчас на фоне волны, поднятой законом "О персональных данных", вопрос оценки рисков несколько ушел в тень, сменившись более формальным (хотя и не формализованным !) составлением модели угроз. Однако, рано или поздно специалистам по инфобезопасности все же придется вернуться в своей работе к риск-ориентированным стратегиям обеспечения ИБ и вновь придется озаботиться вопросом о том, каким же способом эти самые риски оценивать.
Конечно же каждая организация выбирает свой путь и именно поэтому в мире существуют десятки методов оценки рисков (количественные/качественные). Какое-то время назад мне попался довольно интересный европейский веб-ресурс организации ENISA (European Network and Information Security Agency), на котором собран наиболее широкий (на мой взгляд) перечень различных методик и инструментов по оценке рисков.

Там же опубликован очень интересный материал (PDF), описывающий общий порядок управления рисками, а также методики и инструменты оценки.

В таблице ниже, взятой из указанного документа, представлено сравнение существующих методов:

4 комментария:

  1. спасибо за найденный материал! как раз искал подобное.

    может быть у вас сохранилась копия той самой ПДФки? а то с сайта ENISA не хочет загружаться.

    ОтветитьУдалить
  2. Сходу пока у себя найти не могу, но можно посмотреть в кеше гугла:
    http://docs.google.com/viewer?a=v&q=cache:AGjN7bc-QyAJ:www.enisa.europa.eu/act/rm/files/deliverables/inventory-of-risk-assessment-and-risk-management-methods/at_download/fullReport+enisa+risk+management+full+report&hl=ru&gl=ru&pid=bl&srcid=ADGEESgtFw99eSJIgIIE3wVqKIao8PZRmuvbK-f8K8kv3PHJ6YvEtfrVX3VCnzsCLWgtNdNmWi_Ub-_6JBtC6U4wb339ev_6I3Tfj7XrqmmKhc6deTrd9U88Ty66O9Tkvptvf6hqyjB-&sig=AHIEtbSmK5ypYMg4VNuZnGORQEJFZWgK5w

    ОтветитьУдалить
  3. С сайтом ENISA какая-то фигня творится, упомянутую PDF-ку можно скачать еще здесь:
    https://docs.google.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B-diDhbmRj8gNTg0NjU4NmQtMzBhNS00ZTNlLWE5NGUtMTNkZTIxYjNhNDQ5&hl=en&authkey=CP7Q5NYL

    ОтветитьУдалить
  4. Большое спасибо за ПДФку!

    ОтветитьУдалить