Оценка рисков информационной безопасности по методике Facilitated Risk Analysis Process
Мы продолжаем серию обзоров методик оценки рисков информационной безопасности (далее – ИБ), и сегодняшний выпуск будет посвящен методике Facilitated Risk Analysis Process (далее – FRAP).
Автор: Евгений Баклушин, старший аналитик УЦСБ
Почему FRAP?
Методика FRAP ориентирована на качественную оценку рисков ИБ с точки зрения их влияния на достижение бизнес-целей организации, а не на выполнение каких-то каталогов мер безопасности или требований аудита. При этом методика обладает несколькими преимуществами по сравнению с количественной оценкой рисков, такими как:
Существенное сокращение времени и усилий на проведение оценки.
Документация имеет практическое применение, а не представляет из себя бесполезную стопку бумаги.
Оценка учитывает не только опыт и навыки специалистов отдела ИБ, но и опыт владельцев бизнес-процессов.
Дополнительно может учитываться опыт, полученный из национальных центров реагирования на инциденты ИБ, профессиональных ассоциаций и профильной литературы.
Читать далееИсточник: Хабрахабр
