четверг, 15 сентября 2011 г.

Книга: "Исскуство управления информационной безопасностью"

   Прочитал половину (1, 2, 3 главы) книги "Исскуство управления информационными рисками" Александра Астахова (генерального директора GlobalTrust Solutions, компании поставщика консалтинговых услуг и инструментов), и выделил ее (половины) следующие субьективно позитивные и негативные особенности:
+ согласованность с лучшими практиками - ви и по словам автора излагаемая методология управления рисками базируется на ISO/IEC 27005:2008, на данный момент актуален уже 27005:2011, и BS 7799-3:2006)

+ комплексность, т.е. есть как качественная так и количественная оценка риска, рассматривается риск-менеджмент в целом и как информационные риски (риски ИБ) влияют на другие риски в компании
+ количество информации, несмотря на наличие "воды", есть и большое количество полезной информации (особенно в Приложениях), начиная от терминологии и перечней типовых угроз и заканчивая интересным Приложением о наихудших сценариях кибератак и сравнением ISO 27001, ISO27005 и BS7799-3
+ подробное изложение (есть вопросы для анализа риска (что является активом для организации, какая реальная ценность этого актива, какие существуют угрозы в отношении этого актива и т.п.), оценивание риска, решение по обработке рисков, план обработки рисков)

- субьективно излишняя красивость изложение (например "из миллиона (sic!) требований и средств защиты выбрать те, которые необходимы организации")
избежать кризисных ситуаций
- субьективная путаность изложения - например в один ряд были поставлены COSO ERM, Basel II, ISO 27001;
- субьективное наличие "воды" (рассказывается о финансовом кризисе, зачем нужно управление рисками, почему управление рисками незаменимо)
   Больше половины как-то не пошло..наверно, язык изложения довольно кондовый, впрочем, книга явно может быть полезна как настольный справочник безопаснику для которого вопрос управления рисками является насущным прямо сейчас, но для этого сначала необходимо составить некую личную карту по книге, пропуская воду и отхождения в сторону (ведь безопасники же все и так знают зачем нужно управление рисками, верно?:).
   Покупать или нет - вопрос спорный, но вот времени на прочтения онлайн-варианта книга стоит однозначно.

Хорошего дня!




Комментариев нет:

Отправить комментарий