Качественные методики управления рисками приняты на вооружение в технологически развитых странах многочисленной армией внутренних и внешних IT-аудиторов. Эти методики достаточно популярны и относительно просты, и разработаны, как правило, на основе требований международного стандарта ISO 17799-2002. К качественным методикам управления рисками на основе требований ISO 17999 относятся методики COBRA и RA Software Tool. Методика COBRA представляет требования стандарта ISO 17799 в виде тематических вопросников (check list’s) , на которые следует ответить в ходе оценки рисков информационных активов и электронных бизнес-транзакций компании. Далее введенные ответы автоматически обрабатываются, и с помощью соответствующих правил логического вывода формируется итоговый отчет c текущими оценками информационных рисков компании и рекомендациями по их управлению.
Понятия «оценка рисков» (Risk Assessment) и «управление рисками» (Risk Management) появились сравнительно недавно и сегодня вызывают постоянный интерес специалистов в области обеспечения непрерывности бизнеса (Business Continuity) и сетевой безопасности (Network Security) . Подготовлено более десятка различных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками, среди которых наибольшую известность приобрели международные спецификации и стандарты ISO 17799-2002 (BS 7799) , GAO и FISCAM, SCIP, NIST, SAS 78/94 и COBIT. Прочтите полный перечень вариантов порядка погашения основного долга, откладываю деньги в тайне от мужа, удержание простых и сложных процентов.
Основными целями методики CRAMM являются: • Формализация и автоматизация процедур анализа и управления рисками; • Оптимизация расходов на средства контроля и защиты; • Комплексное планирование и управление рисками на всех стадиях жизненного цикла информационных систем; • Сокращение времени на разработку и сопровождение корпоративной системы защиты информации; • Обоснование эффективности предлагаемых мер защиты и средств контроля; • Управление изменениями и инцидентами; • Поддержка непрерывности бизнеса; • Оперативное принятие решений по вопросам управления безопасностью и пр.
