27 Декабря, 2011

Детальное руководство по оценке рисков информационной безопасности из Канады

Александр Бондаренко
Разбирая материалы по оценке рисков информационной безопасности наткнулся на руководство по оценке рисков ИБ от канадского агенства CSEC ( сайт организации ). Документ носит название Harmonized Threat and Risk Assessment Methodology и доступен для скачивания здесь , дополнительные материалы, относящиеся к этому руководству доступны по этой ссылке .

Не смотря на то, что материал разработан аж в 2007 году, он все еще не потерял актуальности на мой взгляд.  Для тех кто в состоянии читать на английском языке (кто не может, тем рекомендую заняться изучением английского), крайне рекомендую ознакомится с этим документом, очень достойный материал.

В частности в материале достаточно подробно описаны следующие вещи:
  • Организация проекта по проведению оценки рисков (вовлечение руководства, формирование рабочей группы, привлечение сторонних консультантов)
  • Определение границ проведения оценки рисков (описаны различне подходы к выбору области проведения оценки рисков)
  • Подходы к идентификации и классификации активов (включая методы сбора первичной информации, формы для описания перечней активов)
  • Описание различия между BIA (Business Impact Analysis), PIA (Privacy Impact Analysis) и TRA (Threat and Risk Assessment)
  • Классификация и описание возможных угроз информационной безопасности (с примерными перечнями). Впервые я встречаю в описании упоминание о прямых (direct) и непрямых(indirect) угрозах.
  • Определение защитных мер, включая оценку их эффективности применительно к возможным угрозам
... и еще много чего интересного.  Ниже привожу несколько скриншотов из данного документа.






P.S. Еще раз подчеркну, что для тех, кто серьезно интересуется тематикой оценки рисков данный материал может стать довольно полезным.