tag:blogger.com,1999:blog-2951777466315273022.post6460203168792953298..comments2022-04-04T04:34:11.625+06:00Comments on Информационная безопасность - АУДИТ, ОЦЕНКА: Оценка рисков нарушения ИБ (MSAT)Сергейhttp://www.blogger.com/profile/15712696880517447336noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-2951777466315273022.post-12850467092254285472012-05-16T22:42:09.262+07:002012-05-16T22:42:09.262+07:00да, финансовая состовляющая не является критерием,...да, финансовая состовляющая не является критерием, под рукой имеются оба продукта. Спасибо большое за такой развернутый ответ!Радик Б.https://www.blogger.com/profile/01727955055849415189noreply@blogger.comtag:blogger.com,1999:blog-2951777466315273022.post-29520592835362288512012-05-14T11:19:03.118+07:002012-05-14T11:19:03.118+07:00Все зависит от того какую цель аудита ИБ Вы пресле...Все зависит от того какую цель аудита ИБ Вы преследуете. MSAT позволяет провести аудит на основании "лучших практик" (кавычки, потому что для меня лучшие практики это ISO). Под аудитом MSAT скрывается комплекс вопросов, на которые нужно дать ответы и получить результат. КОНДОР - аналог MSAT, только в качестве лучших практик используется стандарт ISO 17799. Принцип тот же, есть большой опросник, который необходимо заполнить и получить результат. ГРИФ - решает задачу анализа и оценки рисков, т.е. на основании анализа исходных данных (структура объекта, защищаемые активы, персонал, существующая СЗИ и т.д.) вы предполагаете возможные угрозы информации и уязвимости существующей СЗИ, а так же ценность защищаемых активов. Полученные значения риска позволяют построить адекватную СЗИ по критерию "стоимость актива-стоимость СЗИ".<br />Оценка рисков является более трудоемкой работой, в отличии от работ по оценки соответствия стандарту и/или лучшей практики (более трудоемкая - специалисту необходимо уметь решать задачи, связанные с большим количеством неопределенностей).<br />Если финансовая составляющая не является критерием выбора продукта, то я бы использовал ГРИФ, в противном случае MSAT.Сергейhttps://www.blogger.com/profile/15712696880517447336noreply@blogger.comtag:blogger.com,1999:blog-2951777466315273022.post-24465652937978954402012-05-13T00:55:27.633+07:002012-05-13T00:55:27.633+07:00Сергей, что вы посоветуете использовать для оценки...Сергей, что вы посоветуете использовать для оценки уровня ИБ MSAT или наш ГРИФ с КОНДОРОМ?<br />Пишу диплом по теме Аудит ИБ и не знаю какое из 2 этих средств выбрать для оценки уровня ИБ выбранного мною объекта ЗИ.Радик Б.https://www.blogger.com/profile/01727955055849415189noreply@blogger.comtag:blogger.com,1999:blog-2951777466315273022.post-85452018137691052322011-10-20T15:27:58.515+07:002011-10-20T15:27:58.515+07:00Да, есть некоторые в виде дерева, но всё же (опять...Да, есть некоторые в виде дерева, но всё же (опять же на мой взгляд) учтены не все зависимости.Алексей Красновhttps://www.blogger.com/profile/09933298937431153098noreply@blogger.comtag:blogger.com,1999:blog-2951777466315273022.post-64537438951903840532011-10-20T15:19:58.404+07:002011-10-20T15:19:58.404+07:00Посмотри все вопросы, часть вопросов есть в виде д...Посмотри все вопросы, часть вопросов есть в виде дерева, а часть вопросов в линейном порядке (видимо зависимости между ними методология не устанавливает).Сергейhttps://www.blogger.com/profile/15712696880517447336noreply@blogger.comtag:blogger.com,1999:blog-2951777466315273022.post-7299656775763940732011-10-20T13:39:31.772+07:002011-10-20T13:39:31.772+07:00На мой взгляд, недостатком является то, что структ...На мой взгляд, недостатком является то, что структура вопросов не древовидная. Поскольку необходимость одних вопросов зависит от ответов на другие вопросы.Алексей Красновhttps://www.blogger.com/profile/09933298937431153098noreply@blogger.com