Сравнение лучших практик по анализу рисков ИБ с методикой моделирования угроз от ФСТЭК
Новая серия публикаций NISTIR 8286 посвящена обсуждению этапов управления рисками ИБ, того как они соотносятся с особенностями отдельных подразделений и систем, и того как они интегрируются в единую систему менеджмента рисками. Серия состоит из 3х частей, при этом для 8286A опубликована финальная версия, 8286B опубликован второй драфт, а 8286С обещают через пару недель. Идею интеграции ИБ в единую систему менеджмента рисками хорошо иллюстрирует следующая картинка из документа. Правда в РФ пока мало задумываются над такими вопросами Как видно большое внимание уделяется реестру рисков, как простому инструменту, с которым постоянно надо работать, поддерживать его в актуальном виде, интегрировать в реестры верхнего уровня. NISTIR 8286 говорит что для понимания контекста риска ИБ нужна информация о risk appetite (общая сумма риска которую готовы принять для достижения бизнес-целей) на уровне компании в целом, а также информация о risk tolerance (допустимый уровень отклонения проц...