GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
Методология оценки риска printer friendly version
next newest post | next oldest post
Author Messages
Loko
Private

Gender: Male
Location:
Registered: May 2007
Status: Offline
Posts: 2

Click here to see the profile for Loko Send email to Loko Send private message to Loko Find more posts by Loko Edit or delete this message Reply w/Quote
Posted Wednesday, May 30, 2007 @ 19:58:03  

ДОброго времени суток, коллеги!
Новичку требуется помошь
Дело вот в чем: Для создания корпоративной СОИБ, необходимо доказать её необходимость руководству. А руководство хочет, что бы ему реально, в деньгах, показали, экономическую целесообразность СОИБ. Насколько я понимаю, для этого необходимо провести анализ и оценку рисков. Возникает вопрос - как?. Как получить достаточно достоверную количественную оценку? Прошу подсказать кто как решал(ет) данный вопрос?


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Monday, June 4, 2007 @ 23:24:29  

Конечно надо провести оценку рисков для основных активов вашего бизнеса вооружившись проверенной методологией и инструментарием. Для ускорения процесса можно пригласить профессионалов, которые уже это делали. Излагать в этом форуме сущность одной из многих количественных или качественных методологий смысла не имеет. Об этом написано уже много книг (к сожалению только на английском) и выпущены стандарты.

Однако, чтобы заплатить деньги за оценку рисков ИБ, руководство уже должно достигнуть определенного уровня зрелости. Надо попытаться привлечь внимание и попугать, сделав например подборку "страшных" историй об инцидентах связанных с инсайдом, саботажами, роковыми ошибками ИТ специалистов и разными компьютерными преступлениями. Конечно, все рассматриваемые "ужасы" должны иметь непосредственное отношение к таким же компаниям как ваша, чтобы у руководства возникал эффект "узнаваемости" и воображение помогло осознать существующую опасность.

--------------------

Loko
Private

Gender: Male
Location:
Registered: May 2007
Status: Offline
Posts: 2

Click here to see the profile for Loko Send email to Loko Send private message to Loko Find more posts by Loko Edit or delete this message Reply w/Quote
Posted Tuesday, June 5, 2007 @ 11:35:36  

Александр, спасибо за ответ!
Порекомендуйте, пожалуйста, литературу, которую стоит почитать.


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Tuesday, June 5, 2007 @ 11:50:18  

Начинать чтение надо с первоисточников, т.е. со стандартов ISO 27001, BS 7799-3, ISO 13335-3, NIST 800-30 и т.д.
Кое что из этого переводилось на русский:
http://www.gtrust.ru/show_cat.php?catid=5003&grid=5001

потом можно почитать книги по управлению ИБ и рисками:
http://shop.globaltrust.ru/show_cat.php?catid=5021&grid=5010

[Edit by Alexander Astahov on Tuesday, June 5, 2007 @ 11:50:50]

--------------------

Mano
Private

Gender: Unspecified
Location:
Registered: Apr 2007
Status: Offline
Posts: 1

Click here to see the profile for Mano Visit http://www.amt.ru Send email to Mano Send private message to Mano Find more posts by Mano Edit or delete this message Reply w/Quote
Posted Thursday, June 14, 2007 @ 16:50:43  

Есть неплохие открытые методики, для scope до 100 активов, например mitre.
Единстаенно, хочу заметить, что абсолютно не имеет значения, какой именно методикой Вы пользуетесь.
Главное - обработка результатов, анализ и разработка программ по снижению рисков до приемлемомго для Вас уровня.
На данном этапе Вам не требуются вложения средств. Просто начните работать.
Подойдут любые понятные методы. Что касается BSI MS, данная организация весьма скептически относится к дорогостоящему ПО, отмечая ряд ключевых особенностей, которые не беруться в расчёт в процессе анализа, например, персонал и риски, связанные с данным активом...
И обязательно обратите внимание на организацию процесса внутреннего аудита. Этот механизм позволит Вам иметь актуальные показатели в карте рисков.
По поводу mitre - пишите в почту, я Вам вышлю.
Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 18
There are currently 0 members and 18 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex