Выбор инструментария для оценки рисков

Существует большое количество коммерческих программных продуктов, предназначенных для оценки рисков. Перечень некоторых продуктов приведен в Приложении № 7. Дополнительную информацию по данному вопросу можно также найти на информационном портале ISO27000.ru.

Стандарт BS 7799-3 определяет критерии выбора программного продукта для оценки рисков.

 

__________________________________

Требования к программному продукту для оценки рисков:

  • должен охватывать все компоненты риска и взаимосвязь между компонентами;
  • должен включать модули для сбора данных, анализа и вывода результатов;
  • должен отражать политику и подход организации к оценке рисков;
  • должен формировать понятные и точные отчеты;
  • должен сохранять историю сбора и анализа данных;
  • должен содержать полную и понятную документацию;
  • должен быть совместимым с программным и аппаратным обеспечением, используемым в организации;
  • должен сопровождаться обучением и поддержкой.

______________________________________

 

Метод, используемый при работе выбранного продукта, и его функции должны отражать политику и общий подход организации к оценке рисков.

Эффективное формирование отчетов о результатах оценки рисков является существенной частью процесса, если руководству требуется взвешивать альтернативы и осуществлять эффективный выбор применимых, надежных и экономически оправданных механизмов контроля. Поэтому данный продукт должен формировать понятные и точные отчеты.

Способность сохранять историю сбора и анализа данных является полезной при проведении последующих оценок и наблюдения над тем, как изменяется ситуация с рисками.

Эффективность использования продукта зависит от того, насколько хорошо пользователь его понимает, а также от того, был ли продукт правильно установлен и настроен. Программная документация должна быть в наличии, включая руководство по установке и эксплуатации.. Не последнюю роль играет доступность обучения и поддержки.

Выбранный продукт должен быть совместим с аппаратным и программным обеспечением, используемым в организации.