Подход «БАРС Груп» к управлению рисками информационной безопасности

[AlexeyK77]

раз речь о риск-подходе, то какую методику оценки рисков вы используете? Есть матрица типовых угроз и уязвимостей? Может ли внешний аудитор глядя на расчет рисков самостоятельно понять, все ли основные угрозы учтены или эксперная оценка потеряла важные пласты. Это то в общем самое интересное, все остальное -лирика.

[ildargaripov]

Используем качественную методику, расчет риска проводится методом экспертных оценок. При выстраивании процесса управления рисками мною использовались матрицы угроз и уязвимостей, сейчас их в явном виде рабочая группа не использует, т.к. наработан опыт и существует наша собственная статистика. Работу по оценке рисков в первую очередь делаем для собственных нужд, не для внешних аудиторов.