Детальное руководство по оценке рисков информационной безопасности из Канады

Разбирая материалы по оценке рисков информационной безопасности наткнулся на руководство по оценке рисков ИБ от канадского агенства CSEC ( сайт организации). Документ носит название Harmonized Threat and Risk Assessment Methodology и доступен для скачивания здесь, дополнительные материалы, относящиеся к этому руководству доступны по этой ссылке.

Не смотря на то, что материал разработан аж в 2007 году, он все еще не потерял актуальности на мой взгляд.  Для тех кто в состоянии читать на английском языке (кто не может, тем рекомендую заняться изучением английского), крайне рекомендую ознакомится с этим документом, очень достойный материал.

В частности в материале достаточно подробно описаны следующие вещи:

• Организация проекта по проведению оценки рисков (вовлечение руководства, формирование рабочей группы, привлечение сторонних консультантов)
• Определение границ проведения оценки рисков (описаны различне подходы к выбору области проведения оценки рисков)
• Подходы к идентификации и классификации активов (включая методы сбора первичной информации, формы для описания перечней активов)
• Описание различия между BIA (Business Impact Analysis), PIA (Privacy Impact Analysis) и TRA (Threat and Risk Assessment)
• Классификация и описание возможных угроз информационной безопасности (с примерными перечнями). Впервые я встречаю в описании упоминание о прямых (direct) и непрямых(indirect) угрозах.
• Определение защитных мер, включая оценку их эффективности применительно к возможным угрозам

... и еще много чего интересного.  Ниже привожу несколько скриншотов из данного документа.






P.S. Еще раз подчеркну, что для тех, кто серьезно интересуется тематикой оценки рисков данный материал может стать довольно полезным.