Новая серия публикаций NISTIR 8286 посвящена обсуждению этапов управления рисками ИБ, того как они соотносятся с особенностями отдельных подразделений и систем, и того как они интегрируются в единую систему менеджмента рисками. Серия состоит из 3х частей, при этом для 8286A опубликована финальная версия, 8286B опубликован второй драфт, а 8286С обещают через пару недель.
Идею интеграции ИБ в единую систему менеджмента рисками хорошо иллюстрирует следующая картинка из документа. Правда в РФ пока мало задумываются над такими вопросами
Как видно большое внимание уделяется реестру рисков, как простому инструменту, с которым постоянно надо работать, поддерживать его в актуальном виде, интегрировать в реестры верхнего уровня.
Я провел сравнение NISTIR 8286 c другими лучшими практиками по управлению рисками ИБ а также с методикой моделирования угроз ФСТЭК России.
Лучшие практики говорят, что на первом этапе (context) организация должна определить для себя правила и методики, которые будут использоваться в процессе анализа рисков. Не исключается возможность использования разных правил для разного типа систем и подразделений. Методика моделирования угроз от ФСТЭК по сути представляет из себя один из возможных вариантов, который может быть встроен в процесс управления рисков.
Определение риска ИБ из NISTIR 8286, NIST 800-30 очень похоже на определение угрозы ИБ из документов ФСТЭК. Да и в целом общего с лучшими практиками больше чем вы думаете...
Первая часть верхнеуровневого сравнения уже доступна для подписчиков на порталах https://www.patreon.com/sborisov и https://boosty.to/proib/
Далее планирую детализировать сравнения в мелочах, приложениях и добавить примеры угроз и рисков которые удалось найти в лучших практиках
