Детальное руководство по оценке рисков информационной безопасности из Канады

Разбирая материалы по оценке рисков информационной безопасности наткнулся на руководство по оценке рисков ИБ от канадского агенства CSEC (сайт организации). Документ носит название Harmonized Threat and Risk Assessment Methodology и доступен для скачивания здесь, дополнительные материалы, относящиеся к этому руководству доступны по этой ссылке.

Не смотря на то, что материал разработан аж в 2007 году, он все еще не потерял актуальности на мой взгляд.  Для тех кто в состоянии читать на английском языке (кто не может, тем рекомендую заняться изучением английского), крайне рекомендую ознакомится с этим документом, очень достойный материал.

В частности в материале достаточно подробно описаны следующие вещи:

• Организация проекта по проведению оценки рисков (вовлечение руководства, формирование рабочей группы, привлечение сторонних консультантов)
• Определение границ проведения оценки рисков (описаны различне подходы к выбору области проведения оценки рисков)
• Подходы к идентификации и классификации активов (включая методы сбора первичной информации, формы для описания перечней активов)
• Описание различия между BIA (Business Impact Analysis), PIA (Privacy Impact Analysis) и TRA (Threat and Risk Assessment)
• Классификация и описание возможных угроз информационной безопасности (с примерными перечнями). Впервые я встречаю в описании упоминание о прямых (direct) и непрямых(indirect) угрозах.
• Определение защитных мер, включая оценку их эффективности применительно к возможным угрозам

... и еще много чего интересного.  Ниже привожу несколько скриншотов из данного документа.

P.S. Еще раз подчеркну, что для тех, кто серьезно интересуется тематикой оценки рисков данный материал может стать довольно полезным. 

Этот материал можно опубликовать: