1

Тема: Анализ рисков страховой компании

Столкнулся с такой задачей: Необходимо проанализировать риски, а после разработать политику безопасности.

Рассмотрел такие аспекты как
-уровень исходной завершённости
-возможность реализации угрозы
-коэффициент реализуемости угрозы (по формуле Y=(Y1+Y2)/20 )
-вероятность реализации угрозы
-опасность угрозы

другими словами составил частную модель угроз для каждой ИСПДн .. и всё же понимаю что это пока что не риски.


посмотрел руководящий документ ФСТЭКа 2003 года, там говориться:

"Методы анализа риска должны учитывать следующие аспекты:
а) вероятность и последствия компрометации активов с учетом:
- возможности реализации идентифицированных методов нападения;
- вероятности успешной реализации нападения;
- возможного ущерба (включая величину материального ущерба, явившегося результатом успешного нападения);

б) другие ограничения, например, правовые нормы и стоимость."

И вот в чём вопрос
- достаточно для анализа рисков модели угроз с рекомендациями для снижения самих угроз (технического и организационного характера) ?
- может быть у кого нибудь есть алгоритм расчёта рисков ? я просто думаю это должно выражаться в процентах %

С Уважением
Максим Александрович

2

Re: Анализ рисков страховой компании

Есть различные методики анализа рисков, к модели угроз и нарушителя по ПДн имеют очень далекое отношение.

3

Re: Анализ рисков страховой компании

Dmitry Leviev, а в свободном доступе можно найти эти методики ? На что хотя бы ориентироваться ?

С Уважением
Максим Александрович

4

Re: Анализ рисков страховой компании

Как вариант, можно использовать:

РС БР ИББС-2.2-2009. Методика оценки рисков нарушения информационной безопасности
http://www.cbr.ru/credit/gubzi_docs/st22_09.pdf

BS 7799-3:2006

СТО Газпром 4.2-3-003-2009. СОИБ ОАО Газпром. Анализ и оценка рисков

С уважением,
Константин Малахов.

5

Re: Анализ рисков страховой компании

Malakhov, большое спасибо за подсказку ) отдал материал на проверку

С Уважением
Максим Александрович

6

Re: Анализ рисков страховой компании

maxSon пишет:

Malakhov, большое спасибо за подсказку ) отдал материал на проверку

Кому, если не секрет?

7

Re: Анализ рисков страховой компании

своему научному руководителю пока что

С Уважением
Максим Александрович

8

Re: Анализ рисков страховой компании

Жаль, думал в реальной работе в компании нужно, научные головы к реальным проблемам шерифа никак не встретятся.

9

Re: Анализ рисков страховой компании

Dmitry Leviev, заодно в военно-страховую компанию готовлю, у них как выяснилось с этим довольно туго. Пароли написаны прямо на мониторах  )) двух зайцев как говориться

С Уважением
Максим Александрович

10

Re: Анализ рисков страховой компании

maxSon пишет:

Dmitry Leviev, заодно в военно-страховую компанию готовлю, у них как выяснилось с этим довольно туго. Пароли написаны прямо на мониторах  )) двух зайцев как говориться

Как всегда, человеческий фактор впереди ИБ smile

Для анализа уязвимостей можно использовать триалки специально заточенного ПО, они вкупе со стандартами (в некоторые уже зашиты шаблоны), смогут выдать картину целиком, по которой в дальнейшем можно выстраивать план создания инфраструктуры информационной безопасности. Триалки потом можно удалить, ну или приобрести.

__________________________
ProtectPoint.ru
Информационная безопасность