Сравнение лучших практик по анализу рисков ИБ с методикой моделирования угроз от ФСТЭК

Дата: 30.11.2021. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
Сравнение лучших практик по анализу рисков ИБ с методикой моделирования угроз от ФСТЭК

 Новая серия публикаций NISTIR 8286 посвящена обсуждению этапов управления рисками ИБ, того как они соотносятся с особенностями отдельных подразделений и систем, и того как они интегрируются в единую систему менеджмента рисками. Серия состоит из 3х частей, при этом для 8286A опубликована финальная версия, 8286B опубликован второй драфт, а 8286С обещают через пару недель.

Идею интеграции ИБ в единую систему менеджмента рисками хорошо иллюстрирует следующая картинка из документа. Правда в РФ пока мало задумываются над такими вопросами

Как видно большое внимание уделяется реестру рисков, как простому инструменту, с которым постоянно надо работать, поддерживать его в актуальном виде, интегрировать в реестры верхнего уровня. 

NISTIR 8286 говорит что для понимания контекста риска ИБ нужна информация о risk appetite (общая сумма риска которую готовы принять для достижения бизнес-целей) на уровне компании в целом, а также информация о risk tolerance (допустимый уровень отклонения процессов от поставленных целей) отдельных подразделений. 

Я провел сравнение NISTIR 8286 c другими лучшими практиками по управлению рисками ИБ а также с методикой моделирования угроз ФСТЭК России. 

Лучшие практики говорят, что на первом этапе (context) организация должна определить для себя правила и методики, которые будут использоваться в процессе анализа рисков. Не исключается возможность использования разных правил для разного типа систем и подразделений. Методика моделирования угроз от ФСТЭК по сути представляет из себя один из возможных вариантов, который может быть встроен в процесс управления рисков.

Определение риска ИБ из NISTIR 8286, NIST 800-30 очень похоже на определение угрозы ИБ из документов ФСТЭК. Да и в целом общего с лучшими практиками больше чем вы думаете…

Первая часть верхнеуровневого сравнения уже доступна для подписчиков на порталах https://www.patreon.com/sborisov и https://boosty.to/proib/

Далее планирую детализировать сравнения в мелочах, приложениях и добавить примеры угроз и рисков которые удалось найти в лучших практиках


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *