17 Февраля, 2012

CISM Управление рисками (intro)

Andrey Prozorov
Изучая и анализируя CISM Manual 2011, решил периодически выкладывать материалы по доменам данной сертификации. Начну со 2го "Information Risk Management".

name='more'> Понимание и знания этого домена базируются на:

  1. Establish a process for information asset classification and ownership (~управление активами)
  2. Implement a systematic and structured information risk assessment are conducted periodically (~создание системы оценки рисков)
  3. Ensure that business impact assessment are conducted periodically (~оценка влияния на бизнес)
  4. Ensure that threat and vulnerability evaluations are performed on an ongoing basis (~анализ угроз и уязвимостей)
  5. Identify and periodically evaluate information security controls and countermeasures to mitigate risk to acceptable levels  (~управление контрмерами)
  6. Integrate risk, threat and vulnerability identification and, anagement into life cycle processes (e.g. project management, development, procurement and employment life cycles)  (~жизненный цикл управления рисками и интеграция процесса)
  7. Report significant changes in information security risk to appropriate levels of management for acceptance on both a periodica and event-driven basis)  (~периодический пересмотр)
Изучение домена базируется на следующих терминах/областях, которые необходимо знать и понимать: Threats, Vulnerabilities, Exposures, Risk, Impacts, Controls, Countermeasures, Resource valuation, Information asset classification, Criticality, Sensitivity, Recovery Time Objectives (RTOs), Recovery Point Objectives (RPOs), Service Delivery Objectives  (SDOs), Acceptable Interruption Window (AIW), Redundancy; Service level agreements, System robustness and resilience, Business continuity/disaster recovery, Business process reengineering, Project management timelines and complexity, Enterprise and security architectures, IT and information security governance, System life cycle management, Policy, standards and procedures. Помимо этих заявленных в тексте присутствуют еще и BIA, ROI/ROSI, TCOи другие.

В мануале описаны лишь общие моменты, поэтому для изучения необходимо будет почитать и другие источники. Сам я ориентируюсь на проработку ISO 27005, NIST и Cobit. При этом стоит понимать, что сертификация не предполагает глубоких знаний методологий, а ориентирована в первую очередь на понимание процесса и его интеграцию с бизнес-процессами компании. Так, следует понимать:
  • цели процесса управления рисками;
  • факторы успеха при внедрении программы управления рисками;
  • назначение оценки активов и их классификации;
  • понятия допустимый уровень рискаи остаточный риск, кто их принимает и зачем;
  • принципы распределение ответственности за процесс управления рисками;
  • понимание отличий между терминами Risk analysis, Risk Assessmentи Risk Management;
  • принципы выбора контрмер и их обоснование;
  • понимание назначения RTO и RPO
  • и т.д.

Краткая майндкарта по мануалу:

P.S. В продолжение темы несколько интересных статьей по рисками: