Прошло 5 лет с тех пор, как мы в последний раз обновляли наше руководство по управлению рисками, с тех пор многое изменилось в мире глобальной политики, технологий и кибербезопасности.
Наша цель – предоставить практические рекомендации, актуальные для современных технологических систем и услуг. Как всегда, наши рекомендации подкреплены нашим практическим опытом работы над наиболее сложными проблемами управления рисками, отзывами пользователей и экспертными исследованиями из нашей социотехнической группы и группы риска.
Некоторые моменты в руководстве остаются неизменными. Например, для эффективного управления рисками кибербезопасности важно использовать компонентный и системный подходы к риску, а также использовать различные источники информации по управлению рисками.
Однако это обновление включает в себя три совершенно новых раздела:
- Во-первых, мы разработали 8-ступенчатую систему управления рисками кибербезопасности, чтобы помочь вам понять, “как выглядит хороший подход к управлению рисками” для вашей организации. В то время как этапы в структуре используют ISO / IEC 27005 в качестве ориентира, аналогичные действия можно найти во многих других методах и подходах к управлению рисками.
- Во-вторых, мы представили идею инструментария управления рисками кибербезопасности. Мы используем метафору инструментария, потому что не существует универсального подхода к управлению рисками. Вам нужно будет использовать наиболее подходящую технику или метод для решения стоящих перед вами задач по управлению рисками. Мы ожидаем, что по мере появления новых методов содержание этого инструментария управления рисками кибербезопасности будет расширяться, но на данный момент этот инструментарий включает:• компонентный и системный подходы к управлению рисками
• использование качественной и количественной информации по управлению рисками
• использование моделирования угроз
• использование деревьев атак
• использование сценариев кибербезопасности - В-третьих, мы представили базовый метод оценки рисков и управления для читателей, которые новички в управлении рисками или имеют очень простые требования к управлению рисками. Как мы объясняем, он не подходит для сложных сценариев управления рисками и не предназначен для использования в качестве ‘одобренного NCSC’ метода управления рисками. Этот метод не основан на каком-либо одном методе, но он аналогичен (более сложным) подходам “снизу вверх” и компонентному подходу, рекомендованному NIST и Международной организацией по стандартизации.
Наконец, мы обновили модель обеспечения из одного из устаревших ‘Руководств по надлежащей практике’ CESG. Мы сделали это, чтобы помочь вам понять, как вы можете получить и поддерживать уверенность в продуктах, системах и услугах, которые вы используете. Хотя четыре механизма обеспечения в модели обеспечения CESG не изменились (и их все по-прежнему необходимо применять, чтобы организация получала и поддерживала уверенность), мы обновили список потенциальных мероприятий по обеспечению, которые могут быть использованы для получения и поддержания внутренней, внешней, операционной и внедренческой уверенности.
Author: admin
Related Posts
Безопасность облачных хранилищ: что нового в матрице угроз
Этот веб-сайт – настоящий швейцарский армейский нож с более чем 60 бесплатными инструментами с открытым исходным кодом, которые вы можете использовать
