Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

воскресенье, 9 мая 2010 г.

Обзор методик управления рисками

Inforamtion Risk Management Methodologies Review
View more presentations from Vladimir Matviychuk.

В колонках 2-9 цифрами отмечен уровень покрытия методикой конкретного раздела управления рисками:
1 - поверхностно -> 3- максимально детально
"-" - не рассматривается данной методикой

В колонке "необходимые навыки" цифры обозначают уровень подготовки, которым должен обладать специалист для применения методики:
1- минимальная подготовка -> 3- требуется серьезная подготовка

1 комментарий:

  1. Владимир,

    спасибо за анализ - было интересно изучить! после прочтения у меня возникло несколько вопросов:

    1) если говорить об it-grundschutz, то лучше аппелировать ихним GSTOOL, поскольку сам it-grundschutz это, по-сути, каталог рекоммендаций. да, безусловно, в итоге, после анализа требований в GSTOOL-е получится анализ и управление рисками, но, всё же сам каталог не содержит методики. я не прав? (ЗЫ сужу по английской версии 2005-го, кстати, очень советую к изучению тем, кто не знаком и очобенно тем, кто жаловался что в ИСО 27001 мало конкретики ;) https://www.bsi.bund.de/cln_174/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/itgrundschutzcatalogues_node.html . кроме самого каталога на сайте BSI есть несколько стандартов: https://www.bsi.bund.de/cln_174/EN/Publications/BSIStandards/BSIStandards_node.html ). Кстати, сам GSTOOL стоит денег, но у него есть опен-сорсный аналог (к сожалению, на данный момент только на немецком, но вдруг кто знает: Verinice, http://www.sernet.de/en/c-a/verinice/ )

    2) что касается сертификации по it-grundschutz - по нему можно сертифицироваться, насколько мне известно. более того, поскольку он основана на ИСО 27001, немцы говорили что возможна крос-сертификация при последнем уровне compliance-a (каталог определяет 3 или 4 уровня, не вспомню сейчас - от базового до full ISO compliant)

    3) AS/NZS 4360 забыли/опустили или он и есть теперь вот тот первый австралийский handbook?

    4) ISF-ом кто-то моет поделиться? увы, не встречал, но раз вы советуете, было бы интересно изучить. можно в личку

    а так спасибо, очень познавательно!

    ОтветитьУдалить