Оценка рисков ИБ (методики, инструментарий)

Оценка рисков ИБ (методики, инструментарий)
Оценка рисков - это безусловно краеугольный камень эффективной и экономически оправданной безопасности. За последние годы было много рассказано про различные подходы к проведению оценки рисков, а сейчас на фоне волны, поднятой законом "О персональных данных", вопрос оценки рисков несколько ушел в тень, сменившись более формальным (хотя и не формализованным !) составлением модели угроз. Однако, рано или поздно специалистам по инфобезопасности все же придется вернуться в своей работе к риск-ориентированным стратегиям обеспечения ИБ и вновь придется озаботиться вопросом о том, каким же способом эти самые риски оценивать.
Конечно же каждая организация выбирает свой путь и именно поэтому в мире существуют десятки методов оценки рисков (количественные/качественные). Какое-то время назад мне попался довольно интересный европейский веб-ресурс организации ENISA (European Network and Information Security Agency), на котором собран наиболее широкий (на мой взгляд) перечень различных методик и инструментов по оценке рисков.

Там же опубликован очень интересный материал ( PDF ), описывающий общий порядок управления рисками, а также методики и инструменты оценки.

В таблице ниже, взятой из указанного документа, представлено сравнение существующих методов:

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас

Александр Бондаренко

Блог Александра Бондаренко