Комментарии 2
Пара вопросов, которые возникли после прочтения:
1) В вашем случае, кто был инициатором работы по оценке рисков ИБ? Проводится ли более общая оценка рисков бизнеса?
2) Какие методики по оценке рисков ИБ вы используете, придерживаетесь?
Здравствуйте! Спасибо за вопросы!
1. Х5 старается в целом уделять внимание управлению всеми рисками, и рассматривает риски ИБ как часть операционных рисков компании. А значит, к ним применяются те же требования, как и к остальным рискам — они должны быть выявлены, оценены и митигированы в случае необходимости.
Поэтому инициатором такой работы, в том числе, является топ-менеджмент, который заинтересован в достижении стратегических целей и обеспечении защищённости бизнеса, но при этом считает, что инвестиции в обеспечение ИБ должны быть разумными.
2. Мы не используем конкретной методики. По сути, мы пытаемся взять лучшее отовсюду (FAIR, COBIT, стандарты ISO и пр.) и добавляем к этому математику и имитационное моделирование.
Как мы выстраиваем риск-ориентированную модель информационной безопасности