Comments 5
FRAP это же вроде вообще для рисков, а не только ИБ?
Добрый день! В целом методику FRAP можно адаптировать для оценки рисков не только ИБ на первых этапах анализа, таких как установление контекста. Однако, сама методика входит в цикл Data Security Management, а ее автор Thomas R. Peltier является сертифицированным специалистом по информационной безопасности. Таким образом ее основное назначение – оценка рисков ИБ.
А "NIST SP 800-171" это же тоже методика оценки риков ИБ?
Добрый день! NIST SP 800-171 предназначен для защиты контролируемой несекретной информации в нефедеральных системах и организациях, т.е. не является методикой оценки рисков ИБ. Если Вас интересует разбор вопросов оценки и обработки рисков ИБ от NIST, то рекомендуем ознакомиться c:
NIST SP 800-39 «Managing Information Security Risk»;
NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations»;
NIST SP 800-30 «Guide for Conducting Risk Assessments».
Что такое риск информационной безопасности? Зачем его оценивать? И как это сделать?