Оцінка ризиків ІБ (методики, інструментарій)

Оцінка ризиків - це безумовно наріжний камінь ефективної і економічно виправданою безпеки. За останні роки було багато розказано про різні підходи до проведення оцінки ризиків, а зараз на тлі хвилі, піднятою законом "Про персональні дані", питання оцінки ризиків кілька пішов в тінь, змінившись більш формальним (хоча і не формалізованим!) Складанням моделі загроз. Однак, рано чи пізно фахівцям з інфобезпеки все ж доведеться повернутися в своїй роботі до ризик-орієнтованим стратегіям забезпечення ІБ і знову доведеться турбуватися питанням про те, яким же способом ці самі ризики оцінювати.

Звичайно ж кожна організація вибирає свій шлях і саме тому в світі існують десятки методів оцінки ризиків (кількісні / якісні). Якийсь час назад мені попався досить цікавий європейський веб-ресурс організації ENISA (European Network and Information Security Agency), на якому зібрано найбільш широкий (на мій погляд) перелік різних методик та інструментів з оцінки ризиків. Там же опубліковано дуже цікавий матеріал ( PDF ), Що описує загальний порядок управління ризиками, а також методики і інструменти оцінки.

У таблиці нижче, взятої з зазначеного документа, представлено порівняння існуючих методів: