Изучая и анализируя CISM Manual 2011, решил периодически выкладывать материалы по доменам данной сертификации. Начну со 2го "Information Risk Management".
name='more'> Понимание и знания этого домена базируются на:
name='more'> Понимание и знания этого домена базируются на:
- Establish a process for information asset classification and ownership (~управление активами)
- Implement a systematic and structured information risk assessment are conducted periodically (~создание системы оценки рисков)
- Ensure that business impact assessment are conducted periodically (~оценка влияния на бизнес)
- Ensure that threat and vulnerability evaluations are performed on an ongoing basis (~анализ угроз и уязвимостей)
- Identify and periodically evaluate information security controls and countermeasures to mitigate risk to acceptable levels (~управление контрмерами)
- Integrate risk, threat and vulnerability identification and, anagement into life cycle processes (e.g. project management, development, procurement and employment life cycles) (~жизненный цикл управления рисками и интеграция процесса)
- Report significant changes in information security risk to appropriate levels of management for acceptance on both a periodica and event-driven basis) (~периодический пересмотр)
Изучение домена базируется на следующих терминах/областях, которые необходимо знать и понимать: Threats, Vulnerabilities, Exposures, Risk, Impacts, Controls, Countermeasures, Resource valuation, Information asset classification, Criticality, Sensitivity, Recovery Time Objectives (RTOs), Recovery Point Objectives (RPOs), Service Delivery Objectives (SDOs), Acceptable Interruption Window (AIW), Redundancy; Service level agreements, System robustness and resilience, Business continuity/disaster recovery, Business process reengineering, Project management timelines and complexity, Enterprise and security architectures, IT and information security governance, System life cycle management, Policy, standards and procedures. Помимо этих заявленных в тексте присутствуют еще и BIA, ROI/ROSI, TCOи другие.
В мануале описаны лишь общие моменты, поэтому для изучения необходимо будет почитать и другие источники. Сам я ориентируюсь на проработку ISO 27005, NIST и Cobit. При этом стоит понимать, что сертификация не предполагает глубоких знаний методологий, а ориентирована в первую очередь на понимание процесса и его интеграцию с бизнес-процессами компании. Так, следует понимать:
- цели процесса управления рисками;
- факторы успеха при внедрении программы управления рисками;
- назначение оценки активов и их классификации;
- понятия допустимый уровень рискаи остаточный риск, кто их принимает и зачем;
- принципы распределение ответственности за процесс управления рисками;
- понимание отличий между терминами Risk analysis, Risk Assessmentи Risk Management;
- принципы выбора контрмер и их обоснование;
- понимание назначения RTO и RPO
- и т.д.
Краткая майндкарта по мануалу:
P.S. В продолжение темы несколько интересных статьей по рисками:
- перевод раздела про управление рисками из манула CISSP на блоге Орлова
- простой пост про оценку рисков
- про риск менеджмент
- презентация "Управление рисками - серебряная пуля или данность моды? "
- систематизация операционных рисков, связанных с ИБ в блоге Орлова
- презентации Лукацкого: 1 и 2
- простой, но полезный пост "В поисках "формулы""
- п ро методологию FAIR в блоге Орлова (1й пост)
- сравнение методологий в блоге Бондаренко
- перечень методик оценки риска
- про ISO 27005
- про 27005 у Бондаренко
- несколько комментариев и ссылок про 27005 и 31010
- про NIST
- еще про NIST
- про инструментарий по оценке рисков в блоге Бондаренко
- в блоге Бондаренко про руководство по оценке рисков ИБ от канадского агенства CSEC
- Место оценки рисков ИБ во внедрении стандарта СТО БР ИББС в блоге Бурцева
