RA2 art of risk

Еще один метод, условно относящийся к базовому уровню — RA2 art of risk [www.aexis.de], базируется на таких британских и международных стандартах и документах:

- BS 7799-2:2002 Information security management systems – Specification with guidance for use;

- ISO/IEC 17799:2000 Code of practice for information security management;

- ISO TR 13335 Part 3: Guidelines for the Management of IT Security – Techniques for the management of IT security (Руководство по управлению режимом информационной безопасности, технологии управления безопасностью);

- ISO TR 13335 Part 4: Guidelines for the Management of IT Security – Selection of safeguards and the well-known BSI guidelines for BS 7799 (Руководство по управлению режимом информационной безопасности, выбор средств защиты);

- PD 3002: Guide to BS 7799 Risk Assessment and Management (Руководство по оценке и управлению рисками);

- PD 3003: Are you ready for a BS 7799 Audit (Оценка готовности компании к аудиту в соответствии с BS 7799);

- PD 3005: Guide on the Selection of BS 7799 Controls (Руководство по выбору системы защиты).

Основные модули этого метода показаны на Рис. 3.

Рис. 3

Этот инструментарий позволяет выполнять оценку рисков (модули 2 и 3) в соответствии, как с требованиями базового уровня, так и с более детальными спецификациями PD 3002 Британского института стандартов.

Каждый из модулей разбивается на ряд шагов.

Демонстрационная версия данного метода, доступная на сайте www.aexis.de, отличается от полной небольшими купюрами и будет полезна при разработке собственных методик и инструментария для анализа и управления рисками.

Microsoft Security Assessment Tool (MSAT)

Microsoft Security Assessment Tool (MSAT) — это средство оценки рисков от Microsoft, предоставляющее информацию о системе безопасности ИТ-инфраструктуры и рекомендации по ее улучшению. MSAT — это обновленная версия средства Microsoft Security Risk Self-Assessment Tool (MSRSAT), выпущенного в 2004 году, и средства Microsoft Security Assessment Tool 2.0, выпущенного в 2006 году.

Приложение разработано для организаций с числом сотрудников не более 1000 человек и представляет собою набор анкет, которые заполняются пользователем, после чего результаты для обработки, оценки рисков и выдачи рекомендаций отсылаются на защищенный веб-сервер MSAT. Microsoft берет на себя обязательство об обеспечении конфиденциальности полученных данных.

Предлагаемые в MSAT вопросы и рекомендации основаны на существующих стандартах (таких как ISO 17799 и NIST-800.x), на рекомендациях и руководстве группы Trustworthy Computing Group корпорации Майкрософт и на других используемых в отрасли рекомендациях по обеспечению безопасности.