Еще один метод, условно относящийся к базовому уровню — RA2 art of risk [www.aexis.de], базируется на таких британских и международных стандартах и документах:
- BS 7799-2:2002 Information security management systems – Specification with guidance for use;
- ISO/IEC 17799:2000 Code of practice for information security management;
- ISO TR 13335 Part 3: Guidelines for the Management of IT Security – Techniques for the management of IT security (Руководство по управлению режимом информационной безопасности, технологии управления безопасностью);
- ISO TR 13335 Part 4: Guidelines for the Management of IT Security – Selection of safeguards and the well-known BSI guidelines for BS 7799 (Руководство по управлению режимом информационной безопасности, выбор средств защиты);
- PD 3002: Guide to BS 7799 Risk Assessment and Management (Руководство по оценке и управлению рисками);
- PD 3003: Are you ready for a BS 7799 Audit (Оценка готовности компании к аудиту в соответствии с BS 7799);
- PD 3005: Guide on the Selection of BS 7799 Controls (Руководство по выбору системы защиты).
Основные модули этого метода показаны на Рис. 3.
Рис. 3
Этот инструментарий позволяет выполнять оценку рисков (модули 2 и 3) в соответствии, как с требованиями базового уровня, так и с более детальными спецификациями PD 3002 Британского института стандартов.
Каждый из модулей разбивается на ряд шагов.
Демонстрационная версия данного метода, доступная на сайте www.aexis.de, отличается от полной небольшими купюрами и будет полезна при разработке собственных методик и инструментария для анализа и управления рисками.
Microsoft Security Assessment Tool (MSAT)
Microsoft Security Assessment Tool (MSAT) — это средство оценки рисков от Microsoft, предоставляющее информацию о системе безопасности ИТ-инфраструктуры и рекомендации по ее улучшению. MSAT — это обновленная версия средства Microsoft Security Risk Self-Assessment Tool (MSRSAT), выпущенного в 2004 году, и средства Microsoft Security Assessment Tool 2.0, выпущенного в 2006 году.
Приложение разработано для организаций с числом сотрудников не более 1000 человек и представляет собою набор анкет, которые заполняются пользователем, после чего результаты для обработки, оценки рисков и выдачи рекомендаций отсылаются на защищенный веб-сервер MSAT. Microsoft берет на себя обязательство об обеспечении конфиденциальности полученных данных.
Предлагаемые в MSAT вопросы и рекомендации основаны на существующих стандартах (таких как ISO 17799 и NIST-800.x), на рекомендациях и руководстве группы Trustworthy Computing Group корпорации Майкрософт и на других используемых в отрасли рекомендациях по обеспечению безопасности.