Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Отзывы о продукции (что скрывает вендор) Какие продукты для управления информационными рисками мы используем?
Protectiva Compliance Manager

Какие продукты для управления информационными рисками мы используем?

Операции с документом
Вверх к Отзывы о продукции (что скрывает вендор)

Какие продукты для управления информационными рисками мы используем?

Послано Александр Астахов в 25.Март.2009 10:45
По данным голосования, проводимого на портале, примерно в 15% организаций для управления рисками применяется программный инструментарий.

Интересно было бы узнать кто и что использует для этих целей, насколько успешно и какие возникают проблемы с программными продуктами для управления рисками.

Какие продукты для управления информационными рисками мы используем?

Послано Александр Астахов в 1.Апрель.2009 11:23
В частности, в книге по управлению рисками, которая сейчас готовится к изданию, я сделал обзор и дал сравнительные характериститки следующих продуктов и методов оценки рисков:

- OCTAVE
- CRAMM
- RiskWatch
- COBRA
- RA2 the art of risk
- vsRisk
- Callio Secura 17799
- Proteus Enterprise

Какие продукты для управления информационными рисками мы используем?

Послано Александр Астахов в 6.Апрель.2009 13:41
Из перечисленный продуктов, насколько мне известно:

OCTAVE - открытая методика, адаптируется и используется организациями по своему усмотрению. софта нет
CRAMM - после поглощения разработчика (Insight Consulting) компаний Siemens, разработка и поддержка продукта фактически свернута
COBRA - серьезным продуктом назвать нельзя. тоже не развивается и не поддерживается
RA2 - разработка не ведется
Callio Secura - то же, что и RA2 и CRAMM. разработчики продали свой бизнес

Какие продукты для управления информационными рисками мы используем?

Послано Valentin в 23.Февраль.2010 17:10
В списке не заслужено забыто это - www.methodware.com

PS
Многие крупные компании используют корпоративные риск-платформы, например, SAS.

Какие продукты для управления информационными рисками мы используем?

Послано Александр Астахов в 26.Февраль.2010 18:06
А вы сами methodware использовали? Там имеются средства для оценки рисков информационной безопасности? Какая методология там используется? Какому стандарту соответствует?

Какие продукты для управления информационными рисками мы используем?

Послано Valentin в 27.Февраль.2010 09:59
на мой взгляд если какая-то риск система жестко соотвествует какому-либо стандарту, то ее не надо покупать - система должна быть гибкой, чтобы можно было добавить какие-либо показатели в формулы и критерии. На мой взгляд в этом продукте используется интересный количественный подход (не идеальный) в основу был положен австралийскийский стандарт управдения рисками в т.ч. на базе которого разрабатвалься аналог в семестве 2700x.

Какие продукты для управления информационными рисками мы используем?

Послано Александр Астахов в 27.Февраль.2010 10:14
From val:
на мой взгляд если какая-то риск система жестко соотвествует какому-либо стандарту, то ее не надо покупать - система должна быть гибкой, чтобы можно было добавить какие-либо показатели в формулы и критерии.


Современные стандарты в области управления рисками ИБ достаточно гибкие и позволяют вам использовать как качественные, так и количественные методы оценки рисков, добавлять свои показатели, формулы и критерии.

Если организация выстраивает свою стратегию в области управления ИБ, опираясь, скажем, на международные стандарты ISO 2700x, то ее в любом случае не устроит система, которая не соответствует этим стандартам, какой бы гибкой она не была.

Какие продукты для управления информационными рисками мы используем?

Послано Valentin в 27.Февраль.2010 15:35
From astahov:
Современные стандарты в области управления рисками ИБ достаточно гибкие


тогда это не стандарты, а руководства - стандарты стандартизируют, а не предлагают гибкие подходы

в модель 2700x заложена идея использования риск-ориентированного подхода, а не какого-либо стандарта управления рисками.

Какие продукты для управления информационными рисками мы используем?

Послано Александр Астахов в 27.Февраль.2010 16:22
From val:
тогда это не стандарты, а руководства - стандарты стандартизируют, а не предлагают гибкие подходы

в модель 2700x заложена идея использования риск-ориентированного подхода, а не какого-либо стандарта управления рисками.


Такого отличия между стандартами и руководствами, о котором вы говорите, не существует. Многие стандарты даже имеют название "Руководство", "Практическое руководство", "Практические правила" и т.п. Зачем придумать то чего нет?

В основе ISO 2700х действительно лежит риск-ориентированный подход, который подробно раскрывается в стандартах ISO 27005 и BS 7799-3, не накладывающих существенных ограничений на используемую методологию оценки рисков.

Какие продукты для управления информационными рисками мы используем?

Послано Александр Астахов в 17.Март.2011 00:42

Какие продукты для управления информационными рисками мы используем?

Послано Александр Астахов в 11.Ноябрь.2011 13:47
Обновил перечень продуктов для управления рисками ИБ и ввел простейшую классификацию. Кому есть что к этому добавить, присылайте свои ссылки и комментарии. Будем добавлять их во вторую редакцию книги по управлению рисками ИБ.
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex