18.07.2009

Как правильно делать анализ рисков ИБ

Смотря какой. "Анализ рисков ИБ" без дополнения "на предмет ..." - это ни о чем. Это все равно что инженеру про расчет изделия сказать. А какой расчет-то - на изгиб с кручением, на гомогенную конденсацию или на болотную проходимость? Это разные задачи, а не одна. Задача "Расчет вообще" не решаема, бессмысленна, недостаточнно информации для решения, только время терять.
Выбор применимых контролей из 27002 - это один анализ рисков (довольно смешной, кстати, но это отдельная тема), выбор между СЗИ А и Б - другой, прием стремного работника на генератора ключей - третий и т.п. А поскольку нет общего знаменателя, то нет и универсального инструмента.

Эта довольно старая тирада, произносимая с вариациями года четыре уже, будет здесь красоваться те две недели, которые я купаюсь и загораю. А вы пока можете делать анализ рисков.

1 комментарий:

Анонимный комментирует...

Проще сказать "Как неправильно делать"
или как А.Лукацкий подмечал "вредные советы", например:

Если Вас за небольшие
деньги просят Риск найти
а большие незаплатят
за созданье СЗИ

То найдите столько Рисков
чтоб Закащик обалдел
и тогда он Вам заплатит
за созденье СЗИ

Ну а если не заплатит
то совсем уж запугайте
приведите им отчеты
по утечкам ПДн...

Расскажите про законы
расскажите про ботнеты
и про хакеров скажите
и про вирусы в сети

И возможно Ваш Заказчик
посчитает Вас за гуру
и немного денег выдаст
и на сайте разместит...

бла бла бла...

Приятного отдыха тем кто отдыхать может себе позволить !!!

Отправить комментарий