Требования к эксперту по оценке рисков

image_pdfimage_print

В то время как риск-менеджер контролирует функционирование СУИР в целом, стержневые процессы, такие как оценка и обработка рисков, могут выполняться отдельным экспертом или рабочей группой.

Эксперт по оценке рисков (члены рабочей группы) должен отвечать следующим требованиям:

  • базовое понимание того, как функционирует бизнес, и склонности этого бизнеса к риску;
  • понимание основных концепций риска, например, каким образом комбинируются оценки угрозы, уязвимости и ущерба для получения величины риска;
  • понимание ИТ на уровне, достаточном для понимания угроз и уязвимостей ИТ, например, что представляют собой системы, рабочие станции, устройства хранения, операционные системы, приложения, сети передачи данных, веб-сайты, вирусы и черви, а также, каким образом они функционируют и взаимодействуют;
  • понимание различных типов механизмов безопасности, как они работают и любые свойственные им ограничения, например, межсетевые экраны, системы обнаружения вторжений, механизмы идентификации и аутентификации, механизмы контроля доступа, шифрование, средства видеонаблюдения, а также журналирование и мониторинг и т.п.;
  • практическое понимание используемой методологии оценки рисков и любых, связанных с ней инструментов, программного обеспечения или форм;
  • аналитические способности, т.е. способность выделять относящиеся к делу факты;
  • способность идентифицировать в организации людей, которые смогут предоставить необходимую информацию;
  • уровень коммуникабельности, достаточный для получения необходимой информации от людей в организации и сообщения о результатах оценки рисков в форме, понятной руководству, принимающему решения.

Эксперт по оценке рисков должен быть профессионалом в области ИТ либо информационной безопасности. Он также может быть «человеком из бизнеса» при условии, что он обладает необходимыми знаниями и квалификациями, перечисленными выше, либо он может являться внешним консультантом.

Автор

Александр Астахов

Эксперт по информационной безопасности, автор книг и статей, предприниматель, основатель группы GlobalTrust, компании Protectiva, портала ISO27000.RU.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *