Отзывы

Александр, большое спасибо за книгу

В Киеве, правда, купить быстро не удалось, пришлось немного подождать. Книга нужная и полезная, добротно изданная, но есть несколько неприятных моментов:
1. ОЧЕНЬ много опечаток. Они не существенные, но в глаза бросаются, даже мне человеку далекому от филологии.
2. ИМХО необходим более строгий подход к терминологии, а так в рамках нескольких страниц, один и тот же термин может называться по-разному.

Книга хорошая и своевременная, а у нас так и, наверное, опережающая время ;-).
Хочу пожелать, поскорее приступить ко второй редакции (может быть, пропустив первое через «жернова» публичного обсуждения)

Владимир

Мне тоже книга понравилась

я как раз начала заниматься информационными рисками. Все просто, понятно. Но опечатки действительно очень бросаются в глаза.

Елена

Предисловие автора ко второму изданию

Вторая редакция книги «Искусство управления информационными рисками» называется по другому и существенно превосходит первую редакцию по объему.

Теперь книга называется «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ как искусство управления рисками«. Необходимость смены вывести связана с тем, что в магазинах эту книгу нельзя было найти в разделе ЗАЩИТА ИНФОРМАЦИИ, а помещали ее куда угодно: в бизнес-литературу, стратегический и риск-менеджмент, экономические аспекты информатики и др.

В книгу внесено много добавлений и исправлений, в том числе:

  1. Отныне речь идет о возможности реализации угрозы (theat likelihood), а не о вероятности (threat probability). Воспоминания о школьной теории вероятности не должны более вводить читателя в заблуждение при использовании формул количественной оценки риска.
  2. В книге дается определение новой структуры данных под названием «профиль риска» и приводятся примеры профилей риска для различных типов организаций и информационных систем. Использование шаблонных профилей риска значительно упрощает процессы управления рисками в каждой конкретной организации и позволяет осуществлять стандартизацию данной области по схеме принятой в международной стандарте ISO 15408 (Общие критерии оценки безопасности информационных технологий).
  3. В книге дается краткий обзор стандартов международных управления рисками общего назначения (ISO 31000, 31010), чтобы показать, что управления рисками ИБ осуществляется в общем контексте управления бизнес-рисками и основано на тех же самых общих принципах риск менеджмента.
  4. В соответствии с международным стандартом ISO 31010 описываются 39 методов оценки риска (Дельфи, Монте-Карло, мозговой штурм и пр.), из которых 31 метод стандартизирован, а 8 — реально применяются на практике.
  5. Интеграция риск-менеджмента в процессы управления организацией (стратегический менеджмент, управление изменениями, проектами, инцидентами, обучением и т.д.). Для наглядности добавлены схемы, иллюстрирующие взаимосвязи между этими процессами управления.
  6. Признаки улучшенного менеджмента риска.
  7. Дается методика измерения эффективности системы риск-менеджмента в соответствии со стандартом ISO 27004.
  8. Также в книгу было внесено множество других дополнений и корректировок.

Эти добавления сначала были сделаны в блоге автора по адресу http://iso27000.ru/blogi/aleksandr-astahov, затем переносились в электронную редакцию книги http://анализ-риска.рф, а затем в печатную редакцию, которая выходит как на русском, так и на английском языках.

Предисловие автора к первому изданию

Эта книга поможет профессионалу систематизировать имеющиеся знания и перейти к созданию эффективной системы управления рисками, соответствующей потребностям его организации. Новичку же она даст базовый набор знаний, необходимый для того, чтобы обеспечить ему хороший старт в области управления рисками.

Управление информационными рисками – тема для многих неочевидная, значение которой в жизни общества неуклонно возрастает. В скором времени она может выйти на первый план, наряду с политическими, финансовыми и военными событиями. Поэтому политикам, бизнесменам, военным, руководителям всех уровней, а также всем специалистам, имеющим какое-либо отношение к информационным технологиям, важно подготовить свое сознание к восприятию новой реальности и решению невиданных ранее проблем, связанных с возрастанием угроз информационной безопасности.

Однако в первую очередь эта книга адресована специалистам по информационной безопасности, которых совсем недавно начали готовить в университетах в соответствии с «лучшими традициями» высшего образования, т.е. далеко от реальной жизни. Большая же часть практикующих специалистов по информационной безопасности пришло в эту область из информационных технологий, унаследовав технический взгляд на безопасность, соответствующий менталитет и самоощущение «чужого среди своих». И тем и другим предстоит пройти долгий путь с целью обретения гармонии в такой сложной области, как информационная безопасность.

Эта странная область деятельности, ассоциирующаяся в массовом сознании с хакерами и компьютерными вирусами, а в наше время еще и с утечками данных, находится на стыке информационных технологий, безопасности, общего менеджмента и психологии. Для успешного решения проблем информационной безопасности требуются нетрадиционные подходы, а также совмещение знаний и навыков из различных технических и гуманитарных областей, которые сложно совместить в одном человеке. А упираются все эти непростые вопросы в конечном счете в управление рисками.

Автор будет считать свою задачу выполненной, если его многолетний опыт, приобретенный в пока еще слабо защищенном от информационных угроз российском бизнесе, окажется полезен читателям и будет способствовать укреплению безопасности и стабильности общества, повышению эффективности менеджмента и просветлению в умах.

У просвещенного читателя эта книга, возможно, вызовет даже больше вопросов, нежели сможет дать ответов. Безусловно какие-то темы в ней остались раскрыты недостаточно глубоко. Не стоит питать иллюзий на этот счет. Нельзя объять необъятного. Не стоит упрекать автора в том, что он ответил не на все вопросы и раскрыл не все «профессиональные тайны». Тем более, что основной секрет управления рисками заключается в отсутствии каких-либо секретов. Вместо «профессиональных тайн» автор предлагает систематический подход, основанный на здравом смысле, международных стандартах и обобщении практического опыта, накопленного в этой сфере профессиональным сообществом.

Автор не ставил перед собой цели в рамках одной книги дать ответы на все вопросы, раз и навсегда решив все проблемы, возникающие при управлении рисками. Слишком сложна и многогранна эта тема для того, чтобы ее можно было так скоро исчерпать. Поэтому автор с благодарностью и вниманием воспримет любые конструктивные замечания и предложения по улучшению и дополнению сего труда, отправленные читателями на его электронный адрес: alexastahov@globaltrust.ru.

Предисловие к первому изданию

Книга Александра Астахова «Искусство управления информационными рисками» предоставляет читателям возможность познакомиться с основами управления рисками информационной безопасности, а также с шагами, необходимыми для быстрого и успешного перехода от разговоров об искусстве, сложности и нетривиальности задачи управления информационными рисками к простой и эффективной практике оценки, анализа и обработки рисков.

Любой специалист, занятый в сфере построения и управления системой менеджмента информационной безопасности, а также подготовкой ее к возможной сертификации (регистрации) на соответствие требованиями стандарта ISO 27001, сочтет эту книгу полезной и поучительной.

В книге читатель получит подробную инструкцию по организации процессного подхода управления рисками, найдет информацию об инструментах автоматизирующих этот процесс, освоит базовые определения и концепции, начиная с угроз и уязвимостей, и, заканчивая вопросами приемлемых уровней рисков, их обработки и принятия, превентивными и корректирующими действиями.

Последовательное изложение, формат, обеспечивающий легкое и интересное чтение, практический опыт автора и система взглядов, изложенная в международных стандартах серии ISO 2700х, все это позволяет надеяться, что книга может служить хорошим инструментом в повседневной работе специалистов, управляющих рисками информационной безопасности.

Александр Невский, CISA, CISSP

Начальник управления информационной безопасности

КБ «Ренессанс Капитал» (ООО)

Об авторе

Александр Астахов – эксперт по информационной безопасности, работающий в предметной области с 1995 года, реализовавший десятки комплексных проектов по созданию систем защиты информации в компаниях различного масштаба и сферы деятельности, широко известный своими публикациями в прессе.

Александр является учредителем и генеральным директором компании ГлобалТраст (GlobalTrust, http://www.globaltrust.ru), одного из технологических лидеров российского рынка систем управления информационной безопасностью, разрабатывающего уникальные для России информационные продукты и методики по управлению безопасностью и рисками. ГлобалТраст – одна из первых российских компаний, реализующих проекты по внедрению и сертификации систем управления информационной безопасностью в соответствии с требованиями международного стандарта ISO 27001, начиная с 2005 года.

Александр родился в 1972 году. Окончил Институт криптографии, связи и информатики Академии ФСБ России в 1995 году и адъюнктуру в 1998 году. До 2000 года занимался преподаванием на кафедре программирования и компьютерной безопасности, затем работал в коммерческих компаниях, за несколько лет пройдя путь от ведущего специалиста до руководителя направления информационной безопасности в ряде российских системных интеграторов. Довелось также поработать и «на другой стороне баррикад» в качестве аудитора и начальника отделов информационной безопасности в финансовом и промышленном секторах.

В 2003 третьем году основал компанию ГлобалТраст, которая должна была компенсировать отсутствие на российском рынке в то время качественных услуг и инструментов для управления информационной безопасностью. Основными проектами ГлобалТраст являются: консалтинг и обучение, создание новых продуктов для управления безопасностью и рисками, дистрибуция лучших мировых брендов, развитие интернет-магазина средств защиты информации shop.globaltrust.ru и информационного портала ISO27000.RU – авторитетного русскоязычного ресурса, посвященного вопросам управления безопасностью и рисками, который ориентирован на новое поколение менеджеров информационной безопасности, способных управлять взаимосвязями между бизнесом, безопасностью и информационными технологиями.

Александр – ведущий преподаватель Британского Института Стандартов (BSI, http://www.bsi-global.com), сертифицированный аудитор информационных систем (CISA) с 2000 года, автор учебных курсов по аудиту, управлению рисками и внедрению систем управления информационной безопасностью, главный редактор лицензионных русских переводов международных и британских стандартов в области защиты информации и управления непрерывностью бизнеса.

С Александром Астаховым можно связаться по электронной почте AlexAstahov@globaltrust.ru.

Его блог находится по адресу: http://www.iso27000.ru/blogi/aleksandr-astahov.

Аннотация

В книге подробно излагается системный подход к управлению информационными рисками, основанный на эффективной авторской методологии, многократно проверенной на практике в российских компаниях и полностью совместимой с международными стандартами. Из этой книги вы узнаете: как разобраться с информационными активами, угрозами, уязвимостями, механизмами контроля, требованиями безопасности и рисками, а также определить, каким образом все это влияет на бизнес; как реализовать на практике риск-ориентированный подход к обеспечению информационной безопасности, построив сбалансированную систему управления рисками; как анализировать и оценивать информационные риски бизнеса, успешно справляясь с возникающими при этом трудностями; как оценивать и управлять возвратом инвестиций в информационную безопасность; как отличить реальные угрозы от мнимых, а также что такое глобальные информационный кризис и почему он уже не за горами.

Книга ориентирована прежде всего на специалистов по информационной безопасности, ИТ специалистов и риск-менеджеров. Она будет также полезна руководителям компаний, менеджерам всех уровней, имеющим отношение к подготовке и принятию решений по рискам, аудиторам, а также широкому кругу читателей, интересующихся вопросами управления рисками, информационными технологиями и связанными с ними угрозами. Глубина и обстоятельность изложения материала позволяет использовать книгу в качестве учебного пособия для высших учебных заведений и послевузовского образования.

Об этой книге

Этот сайт представляет собой онлайн версию и продолжение книги Искусство управления информационными рисками, выпущенной издательством ДМК пресс в твердом переплете в 2010 году. Это первое издание моей книги по информационным рискам положено в основу настоящего проекта, который является соединением онлайн книги и блога, т.е. здесь я веду свой блог о рисках в формате книги, а также публикую свою книгу в формате блога, периодически внося в нее изменения и дополнения. Название книги, кстати, тоже уже изменилось.

В современном мире информация быстро устаревает. В особенности это относится к информационной безопасности и технологиям. Чтобы идти в ногу со временем, требуется постоянно актуализировать, уточнять и дополнять содержание книги. Хотелось бы это делать не в одиночку, а в диалоге с заинтересованным читателем, ставящим перед автором вопросы, поправляющим ошибки, указывающим на недостатки, оставляя свои отзывы и комментарии прямо на страницах книги. Такой неравнодушный читатель фактически становится моим соавтором, увековечивая здесь свое имя и мысли. В этом случае важной частью книги являются комментарии читателей и вытекающие из них обсуждения. Если этот диалог автора с читателем и читателей между собой будет иметь место, то сайт превратится в живой развивающийся ресурс, благодаря которому мы сможем принести друг другу больше пользы.

Не будьте пассивными читателями. Если вас книга чем-то заинтересовала, пригодилась, удивила, возмутила, понравилась или не понравилась, то напишите об этом в комментариях. Автор, а также другие читатели и соавторы не оставят ваш комментарий без внимания (а всякий спам, ругань и нецензурщина удаляются автоматически соответствующими сервисами, их мы даже не увидим).

Александр Астахов, автор

Email для связи: AlexAstahov@globaltrust.ru