Комментарии 2
раз речь о риск-подходе, то какую методику оценки рисков вы используете? Есть матрица типовых угроз и уязвимостей? Может ли внешний аудитор глядя на расчет рисков самостоятельно понять, все ли основные угрозы учтены или эксперная оценка потеряла важные пласты. Это то в общем самое интересное, все остальное -лирика.
0
Используем качественную методику, расчет риска проводится методом экспертных оценок. При выстраивании процесса управления рисками мною использовались матрицы угроз и уязвимостей, сейчас их в явном виде рабочая группа не использует, т.к. наработан опыт и существует наша собственная статистика. Работу по оценке рисков в первую очередь делаем для собственных нужд, не для внешних аудиторов.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Подход «БАРС Груп» к управлению рисками информационной безопасности