Сравнение лучших практик по анализу рисков ИБ с методикой моделирования угроз от ФСТЭК

 Новая серия публикаций NISTIR 8286 посвящена обсуждению этапов управления рисками ИБ, того как они соотносятся с особенностями отдельных подразделений и систем, и того как они интегрируются в единую систему менеджмента рисками. Серия состоит из 3х частей, при этом для 8286A опубликована финальная версия, 8286B опубликован второй драфт, а 8286С обещают через пару недель.

Идею интеграции ИБ в единую систему менеджмента рисками хорошо иллюстрирует следующая картинка из документа. Правда в РФ пока мало задумываются над такими вопросами


Как видно большое внимание уделяется реестру рисков, как простому инструменту, с которым постоянно надо работать, поддерживать его в актуальном виде, интегрировать в реестры верхнего уровня. 


NISTIR 8286 говорит что для понимания контекста риска ИБ нужна информация о risk appetite (общая сумма риска которую готовы принять для достижения бизнес-целей) на уровне компании в целом, а также информация о risk tolerance (допустимый уровень отклонения процессов от поставленных целей) отдельных подразделений. 

Я провел сравнение NISTIR 8286 c другими лучшими практиками по управлению рисками ИБ а также с методикой моделирования угроз ФСТЭК России. 

Лучшие практики говорят, что на первом этапе (context) организация должна определить для себя правила и методики, которые будут использоваться в процессе анализа рисков. Не исключается возможность использования разных правил для разного типа систем и подразделений. Методика моделирования угроз от ФСТЭК по сути представляет из себя один из возможных вариантов, который может быть встроен в процесс управления рисков.

Определение риска ИБ из NISTIR 8286, NIST 800-30 очень похоже на определение угрозы ИБ из документов ФСТЭК. Да и в целом общего с лучшими практиками больше чем вы думаете...

Первая часть верхнеуровневого сравнения уже доступна для подписчиков на порталах https://www.patreon.com/sborisov и https://boosty.to/proib/

Далее планирую детализировать сравнения в мелочах, приложениях и добавить примеры угроз и рисков которые удалось найти в лучших практиках


Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3