Как оценить риски ИБ? | Интернет-журнал "Корпоративные информационные системы"
Отношение к риск-менеджменту и оценке рисков среди российских ИТ и специалистов иначе как скептическим назвать сложно. Все знают, что это важно, и во многих стандартах (в западных, а теперь уже и в наших) говорится о необходимости оценивать и отслеживать риски информационной безопасности. Однако как это делать правильно и, самое главное, как доказать руководству, что полученный результат действительно полезен и отражает действительность, а не является просто формальным умозаключением?

Безусловно, скептическое отношение сформировалось не на пустом месте. Традиционно информационная безопасность находилась либо в ведении ИТ-отдела, либо под крылом службы безопасности. При этом только в немногих компаниях вопросы находили поддержку и понимание среди руководителей высшего звена. Неумение специалистов по ИТ объясняться с высшим руководством, а порой и слабое знание предметной области не позволяли им донести до руководителей правильное понимание необходимости оценки и мониторинга рисков, связанных с Отчасти в формировании такого отношения виноваты и некоторые консалтинговые организации, выдававшие за оценку рисков обычные экспертные проверки, а иногда и вообще определявшие это все как «комплексный информационной безопасности», который, опять же, основывался исключительно на опыте и знаниях выполнявших его специалистов и не опирался на какой-либо методологический подход. Однако давайте попробуем расставить все по местам. Сейчас уже ясно, что оценка рисков, оценка уязвимости, тесты на проникновение — это все совершенно разные вещи. На это указывают практически все существующие стандарты по безопасности: 27001, PCI DSS, СТО БР ИББС, 13335, NIST SP 800−30 и др.


Ключевые слова: , , , , ,

Статьи по теме

Pages: 1 2 3 4 5 6 7


1 звезда2 звезды3 звезды4 звезды5 звезд (Еще не оценили)
Загрузка ... Загрузка ...

Google Bookmarks News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru МоёМесто.ru Mister Wong

Оставить комментарий

Вы должны войти to post a comment.